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1 Samenvatting 


1.1 Leeswijzer 


De samenvatting bevat de kernbevindingen en verbetervoorstellen voor 
Governance, Risk management en Compliance als ook verbeterpunten voor 
enkele specifieke thema's. Het rapport bevat verbeterpunten voor de thema's: 
biedingsproces, vertrouwelijke informatie, inkoop, human resource management, 
screening, vastgoed en privacy. 


1.2 Achtergrond 


NS is gestuit op onregelmatigheden bij haar dochteronderneming Qbuzz. Op 28 
april 2015 heeft NS deze onregelmatigheden gemeld aan de Minister van 
Financiën. Hierin noemt NS als belangrijke actie een veelomvattende analyse te 
laten uitvoeren gericht op de effectiviteit van de interne procedures, 
risicobeheersing, compliance en Controls bij NS en haar dochternemingen. 
Aandeelhouder en Raad van Commissarissen van NS hebben Alvarez & Marsal 
(hierna: ons/wij) gevraagd deze analyse uit te voeren. 

De analyse is dus niet gericht op het opsporen van andere incidenten. De analyse 
richt zich op processen binnen NS en niet op het handelen van verantwoordelijke 
medewerkers. 


1.3 Opdracht 


Het doel van de analyse is de effectiviteit te beoordelen van interne procedures, 
risicobeheersing, compliance en controlemaatregelen (zowel gericht op hard- als 
soft Controls), om onregelmatigheden en niet-integer-gedrag zo veel mogelijk te 
voorkomen en gewenst gedrag te stimuleren. De analyse omvat de gehele NS- 
organisatie, voor zover NS zeggenschap heeft en meer dan 50% aandelenbelang. 


Onze analyse omvat de gehele organisatie tot en met de Raad van Bestuur van 
NS. Aandeelhouder en Raad van Commissarissen vormen geen onderdeel van 
deze analyse. 

Governance, Risk management & Compliance (hierna: GRC) vormen de 
belangrijkste onderdelen van het business control framework. Kort gezegd is de 
opdracht: hoe goed werkt het business control framework bij NS om 
onregelmatigheden en niet-integer-gedrag te voorkomen? 


Belangrijkste definities 

Governance omvat de 'deugdelijkheid' van ondernemingsbestuur. De volgende 
elementen spelen hierin een belangrijke rol: sturing, beheersing, verantwoording 
en toezicht. 

Risk management is het proces van het beheersen van risico's, waaronder: a) 
identificeren en analyseren van risico's, b) ontwerpen en implementeren van 
maatregelen en c) bewaken (monitoren en rapporteren) van risico's. 

Compliance wil zeggen dat een organisatie werkt in overeenstemming met wet¬ 
en regelgeving, maar ook in overeenstemming met interne regels. 


Daar waar de analyse lacunes in het business control framework identificeert, 
worden verbetervoorstellen gedaan die door NS in een verbeterplan verder 
kunnen worden uitgewerkt. 
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1.4 Werkzaamheden en resultaat 


In het kader van de opdracht hebben wij procedures, protocollen en reglementen 
betreffende de beheersing van onregelmatigheden en niet-integer-gedrag 
geanalyseerd. Hiervoor zijn meer dan 2.400 documenten verzameld en zijn 
diverse bezoeken afgelegd bij de Operating Companies. De documenten 
omvatten procedurebeschrijvingen, instructies, protocollen, interne- en externe 
auditrapporten, compliancerapporten, et cetera. Om inzicht te krijgen in de 
werking van de procedures en in de NS-cultuur zijn meer dan 160 gesprekken 
gevoerd met medewerkers en is een enquête gehouden bij een aselecte 
deelwaarneming van NS medewerkers. Deze vragenlijst is uitgezet in alle lagen 
van de organisatie en verstrekt aan ongeveer 4.100 medewerkers. Circa 1.350 
medewerkers hebben de vragenlijst geretourneerd. In de analyse zijn 
(uitvoerende) medewerkers, management en directie betrokken. Ten slotte zijn 
notulen en relevante bijlagen van de Executive Committee (hierna: ExCo), de 
Raad van Commissarissen (hierna: RvC) en de Auditcommissie geanalyseerd 
(meer dan 600 documenten). 

Onze bevindingen zijn per bedrijfsonderdeel, activiteit en thema uitgewerkt en 
geverifieerd door verantwoordelijke medewerkers. Daarnaast is een externe 
verificatie uitgevoerd op onze analyse en dit rapport. 

Tijdens onze analyse is door NS een meldpunt ingericht waar niet eerder 
gedeelde informatie gemeld kon worden. Hier zijn geen onregelmatigheden 
gemeld vergelijkbaar met het incident tijdens de aanbesteding van het openbaar 
vervoer in Limburg. De informatie verstrekt aan het meldpunt is voor zover 
relevant meegenomen in onze analyse. 

Gedurende onze werkzaamheden hebben wij alle medewerking gekregen van 
medewerkers, management en directie. 


1.5 Samenvattende kernbevinding 


De GRC-organisatie binnen NS is nog niet voldoende op orde om het risico op 
onregelmatigheden en niet-integer-gedrag zoveel als mogelijk te voorkomen en 
om gewenst gedrag te stimuleren. Hierdoor bestaat onvoldoende inzicht in 
integriteitsrisico's en een verhoogde kans dat integriteitsrisico's onvoldoende 
worden beheerst. 

Zowel op gebied van Governance, Risk management als Compliance zijn 
structurele verbeteringen noodzakelijk om op het terrein van integriteit en 
onregelmatigheden beter in control te komen en deze risico's te verminderen. 
Overigens zonder dat dit betekent dat het risico tot nul gereduceerd kan worden. 
Gegeven de kenmerken van niet-integer-gedrag is dat niet mogelijk. 

Dat de GRC-organisatie nog niet voldoende op orde is, betekent niet dat wij 
aanwijzingen hebben dat onregelmatigheden zoals het incident tijdens de 
aanbesteding van het openbaar vervoer in Limburg veelvuldig voorkomen. Zo 
heeft het meldpunt geen aanwijzingen opgeleverd van vergelijkbare 
onregelmatigheden. Verschillende aandachtspunten ten aanzien van de cultuur 
zijn gebleken, zoals verbeteren van voorbeeldgedrag en bevorderen van het 
aanspreken op afwijkend gedrag in een aantal specifieke bedrijfsonderdelen. Uit 
de enquête blijkt dat medewerkers betrokken zijn en vertrouwen hebben in hun 
collegae. Er is sprake van een open werkcultuur. Behoudens in een aantal 
specifieke bedrijfsonderdelen kunnen medewerkers elkaar aanspreken op 
ongewenst gedrag. De meerderheid van de medewerkers heeft aangegeven de 
leidinggevende te kunnen benaderen met vragen over integriteit. 


1.6 Kernbevinding governance 


De aansturing en beheersing van de gehele NS-organisatie ligt bij de ExCo onder 
de eindverantwoordelijkheid van de Raad van Bestuur (hierna: RvB). De RvB legt 
over haar aansturing en beheersing verantwoording af aan de RvC en de 
aandeelhouder. De aansturing en beheersing loopt via een goed ontwikkelde 
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financiële rapportagestructuur en planning- en control cyclus. De aansturing en 
beheersing is sterk gericht op financiële en operationele prestaties, zoals 
afspraken over punctualiteit en veiligheid. De ExCo volgt deze KPI's via 
maandrapportages per bedrijfsonderdeel. De maatregelen om risico's te 
beheersen, worden gemonitord door de RvC en de Auditcommissie. 

De ExCo wordt via deze maandrapportages niet geïnformeerd over compliance 
gerelateerde onderwerpen, zoals over incidentmeldingen, het gifts & hospitality 
register of het niet toepassen van de inhuurdesk. Dat geldt zowel voor de 
Nederlandse bedrijfsonderdelen als voor Abellio. In de periode 2013 tot en met 
augustus 2015 staat het onderwerp 'ethics & compliance' slechts éénmaal 
expliciet op de ExCo agenda: dit bij de start van de functie Ethics & Compliance. 
Ethics & Compliance staat niet op de ExCo agenda, wel worden ad hoe specifieke 
onderwerpen, zoals de gedragscodes van NS en Abellio, naleving bescherming 
persoonsgegevens en vertrouwelijke informatie behandeld. 

Het beheersings- en aansturingsmodel van de Nederlandse organisatie en Abellio 
is wezenlijk verschillend. Bij Abellio is sprake van een piramide-organisatie 
waarbij de aansturing en beheersing door de landenorganisaties en de directies 
van de individuele Operating Companies plaatsvindt. Deze Operating Companies 
worden op hun beurt aangestuurd door Abellio Transport Holding. De 
uitvoerende organisaties zijn per concessie georganiseerd met eigen 
ondersteunende functies. Het beheersen van integriteitsrisico's vindt binnen deze 
Operating Companies plaats. NS heeft bewust gekozen om Abellio als 
aandeelhouder aan te sturen. De keuze voor aansturing op afstand is gemaakt 
vanuit beheersing van het financiële risico voor NS en haar aandeelhouder. Mede 
door het groeiend aantal concessies dient de balans tussen beheersing van 
risico's via het stellen van eisen en het aansturen en beheersen op afstand herijkt 
te worden. Abellio werkt thans aan een nieuw governancemodel, waarbij 
specifieke aandacht bestaat voor deze balans. Abellio heeft regelmatig met ons 
overlegd om het nieuwe governancemodel aan te laten sluiten bij onze 
aanbevelingen. 


Tot slot zijn relatief veel medewerkers onbekend met regels of met de gewenste 
toepassing van regels. Daarom is het voor medewerkers niet altijd duidelijk wat 
wel en niet mag. Medewerkers van hoog tot laag in de organisatie spreken over 
"mogen en moeten" regels en dat men zelf een afweging moet kunnen maken 
hoe te handelen. Daarnaast bestaan binnen de organisatie veel rollen met een 
gedeelde verantwoordelijkheid, waardoor verantwoordelijkheid nemen soms als 
lastig wordt ervaren. Deze aspecten zijn we in de governance van NS in meer of 
mindere mate tegengekomen. Onbekendheid met regels of onbekendheid met 
de juiste toepassing van regels, leidt tot een verhoogd risico op (onbewust) 
normafwijkend gedrag (zie ook 1.8). 


1.7 Kernbevinding risk management 


In 2012 is een eerste plan opgesteld om de kwaliteit van het risk management 
binnen NS te verhogen. In 2014 hebben RvC en directie van NS een visie en een 
plan ontwikkeld op risk management. 

Hiertoe heeft Oliver Wyman een analyse uitgevoerd van de status van risk 
management binnen NS. De conclusie van deze analyse was dat NS achterloopt 
bij het identificeren, kwantificeren, mitigeren, rapporteren en monitoren van 
risico's als ook op risicocultuur. Daarnaast loopt de spoorwegen als industrie 
achter bij andere sectoren. Dit bureau heeft een verbeterplan voor het Risk 
Framework opgesteld. 

NS is een complexe organisatie met een diversiteit aan activiteiten, stakeholders 
en toezichthouders in binnen- en buitenland. Sinds 2012 werkt NS aan het 
verbeteren van het risk managementsysteem. Gezien dit profiel is het huidige risk 
managementsysteem nog niet voldoende ontwikkeld en nog niet op het door NS 
gestelde ambitieniveau 'best in class'. 

Ondanks dat in 2012 is gestart met het ontwikkelen van een risk 
managementplan, dient de eerste stap in het risk managementplan 'het 
vaststellen van de risk appetite en risicotolerantie' nog te worden afgerond. Er is 
dus relatief weinig voortgang geboekt en er zijn weinig tastbare resultaten 
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zichtbaar. Om het gestelde ambitieniveau te halen, dient NS op dit onderwerp te 
versnellen en door te pakken. 

Integriteit was de afgelopen jaren niet expliciet benoemd als strategisch risico, 
inmiddels is dit wel het geval. NS had de beheersmaatregelen destijds als 
voldoende beoordeeld om dit risico te mitigeren. NS onderkent dat deze 
beoordeling achteraf onjuist is gebleken. 

Het is belangrijk dat actief invulling wordt gegeven aan het risk managementplan. 


1.8 Kernbevinding ethics & compliance 


Eind 2012 is een functie Ethics & Compliance opgezet, dit naar aanleiding van de 
UK Bribery Act en de hedendaagse standaarden van 'good governance'. De 
verantwoordelijkheid voor een goede beheersing van compliance risico's ligt bij 
het lijnmanagement. 

Ethics & compliance is geen vaststaand onderwerp op de agenda van de ExCo en 
het rapporteren over ethics & compliance is geen integraal onderdeel van de 
planning- en controlcylus. Hierdoor wordt de ExCo niet structureel geïnformeerd 
over ethics & compliance. Ook via de maandrapportages van de 
bedrijfsonderdelen wordt de ExCo niet over ethics & compliance geïnformeerd. 
Hierdoor bestaat onvoldoende inzicht in integriteitsrisico's en bestaat een 
verhoogde kans dat integriteitsrisico's onvoldoende worden beheerst. 

leder kwartaal komen alle compliance officers van NS bijeen om voortgang 
jaarplan en 'compliance issues & regulatory events' te bespreken. In de loop van 
2014 zijn de Ethics & Compliance kwartaalrapportages na een evaluatie door 
Ethics & Compliance om efficiencyredenen vervangen door een geconsolideerd 
Ethics & Compliance Jaarverslag. Daarnaast melden de compliance officers 
tussentijds relevante onderwerpen of incidenten aan de directie van NS. 

De functie compliance officer is slechts een neventaak van de riskmanager of de 
juridisch medewerker. Veelal wordt 0,1 fte van de taak per medewerker aan 


compliance werkzaamheden toegewezen. De functie Ethics & Compliance omvat 
2,6 fte voor de gehele NS-organisatie. Daarnaast zijn compliance activiteiten 
binnen de OpCo's gefragmenteerd belegd bij verschillende afdelingen, zoals HR, 
Audit, Legal et cetera. Uit interviews is gebleken dat compliance officers vanwege 
de prioriteitstelling van het bedrijfsonderdeel nauwelijks toekomen aan hun taak. 
Dit betekent dat zij feitelijk minder dan 10% van hun tijd besteden aan hun 
compliance taakstelling. 

Gezien het profiel van NS is de capaciteit van de functie Ethics & Compliance op 
dit moment niet voldoende. Uit de enquête blijkt dat medewerkers relatief 
onbekend zijn met de compliance officer en de vertrouwenspersoon. In 
Nederland weet 18% wie haar compliance officer is en 34% wie haar 
vertrouwenspersoon is. In het buitenland is dit respectievelijk 33% en 28%. 

Verder zijn medewerkers slechts beperkt bekend met relevante regels om 
integriteitsrisico's te beheersen. In Nederland is de Gedragscode bekend bij 56% 
van de medewerkers, buiten Nederland is dit percentage 51%. De bekendheid 
van overige regels is veel beperkter. In Nederland is 16% van medewerkers 
bekend met de klokkenluiderregeling, 10% met Beleid Omkoping en Corruptie, 
12% met privacybeleid en 12% met het gifts & hospitality register. In het 
buitenland is de bekendheid met deze regels respectievelijk: 37%, 38%, 36% en 
32%. 

Binnen de Nederlandse NS-organisatie bestaat een veelheid en diversiteit aan 
regels (soms verouderd of overbodig). Daarbij is medewerkers te weinig uitleg en 
training gegeven over hoe in bepaalde situaties te handelen. Medewerkers 
vinden dat men zelf een afweging moet kunnen maken hoe te handelen. 
Overigens wordt bij sommige bedrijfsonderdelen - zoals bij NS Stations - meer 
aandacht besteed aan de manier waarop codes moeten worden toegepast. 
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1.9 De verbeterpunten op hoofdlijnen 


Verbeterpunten Governance 

Wat betreft governance is de belangrijkste stap gezet door het besluit om een 
bestuurder aan te trekken met als specifieke verantwoordelijkheid GRC. 

In de businessplannen dient risicoanalyse en risicobeheersing meer aandacht te 
krijgen, specifiek voor het thema ethics & compliance. In het verlengde daarvan 
dienen deze onderwerpen in de maandrapportages ter verantwoording aan de 
ExCo opgenomen te worden. Voor risk management kan daarbij worden 
aangesloten op het risk managementplan van Oliver Wyman. 

Compliance dient dus een standaard onderdeel te zijn van de 
managementrapportages aan de ExCo. Specifieke KPI's voor compliance risico's 
dienen hiertoe bepaald te worden. 

Om het financiële risico voor NS en haar aandeelhouder te beheersen, heeft NS 
bewust gekozen om Abellio als aandeelhouder op afstand aan te sturen. Gezien 
de groei van Abellio bevelen wij aan om voor Abellio de balans tussen voldoende 
afstand en voldoende in control zijn opnieuw te beoordelen. 

Ten aanzien van ethics & compliance dient NS daarnaast haar eigen standaarden 
op te nemen in het businessplan van Abellio, zodat NS kan waarborgen dat deze 
consistent zijn met NS. Het aandeelhoudersbesluit Abellio geeft NS hiertoe de 
formele grondslag. Hierdoor kan NS afdwingen dat Abellio aan de standaard van 
NS voldoet. 

In het verlengde hiervan dient de ExCo via de maandelijkse rapportages van de 
Nederlandse Operating Companies en van Abellio ook over ethics & compliance 
geïnformeerd te worden. Hierdoor kan NS op deze onderwerpen (bij)sturen en 
toezicht houden. 


Verdere integratie van concernstaven in het proces van risico identificatie is 
nodig om beter inzicht in compliance risico's te krijgen en deze risico's beter te 
beheersen. 

De belangrijkste overige aanbevelingen 

Naast verbeterpunten op GRC zijn ook verbeterpunten geïdentificeerd op 
specifieke thema's die ofwel een verhoogd risico op integriteitsissues inhouden of 
belangrijk zijn bij de beheersing van deze risico's. 

Biedingsproces 

Wij adviseren om aanvullende procedures op te stellen die helpen voorkomen 
dat onrechtmatig data wordt gedeeld tussen biedingsteam en de operatie. 

Dit speelt vooral bij biedingen op concessies die al in bezit zijn van NS, Abellio en 
QBuzz. Van belang is dat medewerkers in het biedingsteam en in de OpCo 
geïnformeerd worden over het bestaan en het belang van deze procedures. Bij 
elk nieuw bod zouden medewerkers actief herinnerd dienen te worden over de in 
acht te nemen procedures. 

Vertrouwelijke informatie 

Het bewustzijn over wat vertrouwelijke informatie is en welke mogelijkheden NS 
biedt om met vertrouwelijke informatie om te gaan, dient verbeterd te worden. 
Er heerst een cultuur waarin veilig werken met bedrijfsvertrouwelijke informatie 
vooral afhankelijk is van de inschatting van de medewerker zelf. Hierdoor bestaat 
het risico dat bedrijfsgevoelige informatie openbaar wordt, met mogelijke schade 
voor NS tot gevolg. Medewerkers hebben nog onvoldoende kennis van de 
mogelijkheden die NS biedt om passend om te gaan met vertrouwelijke 
informatie. 
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Screening 

NS past screening toe op medewerkers, inhuur van externen, uitzendkrachten 
leveranciers en bij vastgoedtransacties. Deze screeningsactiviteiten zijn niet op 
één plaats in de organisatie belegd en er bestaat geen integraal en consistent 
screeningsbeleid. 

Voor medewerkers vindt screening plaats op grond van een risicofunctie. De lijst 
met risicofuncties vormt de basis voor de afdeling HR voor het laten uitvoeren 
van screening. Deze lijst bevat met name de hoge bestuursfuncties binnen NS 
(leden RvB, directievoorzitters bedrijfsonderdelen). 

Of nu sprake is van het screenen van medewerkers, de inhuur van externe 
zelfstandigen, uitzendkrachten, leveranciers of bij vastgoedtransacties, de 
richtlijnen zijn - behoudens voor hoge bestuursfuncties - niet dwingend 
voorgeschreven ofwel er bestaan uitzonderingen. 

Gewaarborgd dient te worden dat screening telkens consistent wordt toegepast, 
zodat het risico op integriteitsinbreuken beter kan worden beheerst. 

Hoe gaat dit werken? 

Het implementeren van de verbeterpunten levert op dat het business control 
framework verbetert en NS beter inzicht krijgt in integriteitsrisico's, deze risico's 
beter kan beheersen en daarmee beter in control komt. GRC is belangrijk omdat 
het de organisatie helpt om efficiënter haar risico's te beheersen en daarmee 
bedrijfsdoelstellingen te realiseren. Gezien de aard van integriteitsissues en 
onregelmatigheden zijn deze overigens nooit geheel uit te sluiten. 

De recente aanstelling van een 'bestuurder Governance, Risk & Compliance' 
maakt een actievere aansturing van de organisatie op het gebied van ethics & 
compliance mogelijk en geeft aan hoe belangrijk de top van de organisatie dit 
onderwerp vindt. Tegelijkertijd wordt hiermee het belang van ethics & 
compliance voor de hele organisatie nogmaals duidelijk gemaakt. De aanstelling 
van deze bestuurder en de nieuwe gedragscode bieden een mooie kans om het 


belang van ethics & compliance te herijken. Om succesvol te zijn dient de 
organisatie de juiste omstandigheden te creëren, waarvan wij er hier enkele 
noemen: 

• Door een omvattende training rondom de nieuwe gedragscode op te zetten, 
wordt tegelijkertijd het bewustzijn van medewerkers verbeterd over 
onderstaande procedures en regelingen: 

o Klokkenluiderregeling 
o Business Control Incidents procedure 
o Fraudebeleid 

o Reglement 'Veilig omgaan met informatie' 
o Klachtenregeling 

Training- en discussiesessies verbeteren zowel de bekendheid met regels als 
de praktische toepassing van deze regels. 

Medewerkers dienen beter bekend te zijn met waar men zich kan melden. 
Belangrijk is dat NS duidelijk uitlegt hoe met met meldingen omgaat en hierin 
consistent handelt, hierdoor kan het vertrouwen groeien en zal eventuele 
angst afnemen. Bij ScotRail werd meermalen gesproken over 
voorkeursbehandeling en vriendjespolitiek. Wij merken op dat de ScotRail- 
concessie per 1 april 2015 onderdeel is van Abellio. 

• Door heldere KPI's voor ethics & compliance te bepalen en de Operating 
Companies en Abellio hierover maandelijks te laten rapporteren, kan de ExCo 
(bij)sturen en integriteitsrisico's beter beheersen. Ethics & compliance kan 
hierdoor stap voor stap groeien, naar het benodigde volwassenheidsniveau. 
KPI's kunnen bijvoorbeeld zijn: 

o Succesvol afgeronde trainingen 
o Incidentmeldingen 

o Screening: welke nieuwe medewerkers wel / niet 
o Gifts & Hospitality register 
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• De werking van ethics & compliance dient op basis van de specifieke KPI's 
getoetst te worden, bijvoorbeeld door NS Risk & Audit. Het auditplan dient 
hierop ingericht te worden, zodat onafhankelijk bepaald kan worden of men 
voldoende in control is. 

Bepaal bij welke regels een 'controlerende' of 'stimulerende' benadering 
past, of een combinatie van beide. Hierdoor ontstaat een beter evenwicht 
tussen hard- en soft Controls, waardoor het voor medewerkers duidelijker is 
wat van hen verwacht wordt. Voor medewerkers ontstaat hierdoor 
helderheid over van welke regels absoluut niet afgeweken mag worden (zero 
tolerance). Training- en bewustwordingssessies zijn hiertoe belangrijk. Zorg er 
voor dat de werkzaamheden van Audit zich hierop toespitsen. 

Bij een stimulerende benadering dient meer aandacht besteed te worden aan 
training en het stimuleren van voorbeeldgedrag. 


Hoeveel tijd is nodig voor implementatie? 

Via een veranderprogramma kunnen de diverse verbeterpunten worden 
verbonden tot een omvattend verbetertraject. Internationale standaarden voor 
het inrichten van compliance management zoals ISO 19600, kunnen hier 
behulpzaam bij zijn. Door goed gebruik te maken van de centrale rol van 
concernstaven kan het invoeren van de verbeteringen eenvoudiger en sneller 
worden gerealiseerd. Het totale programma zal twee tot drie jaren omvatten. In 
dit cultuurprogramma dient expliciet aandacht besteed te worden aan: 

• Het verder verbeteren van 'tone at the top' 

• Het wegnemen van (het beeld van) voorkeursbehandeling binnen specifieke 
onderdelen / afdelingen 

• Het stimuleren van voorbeeldgedrag 

• Het aanspreken op afwijkend gedrag 
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2 Verantwoording analyse 


Het doel van onze opdracht is om een antwoord te geven op de vraag of interne 
procedures, risicobeheersing, compliance en controlemaatregelen bij NS 
voldoende zijn om onregelmatigheden en niet-integer-gedrag te voorkomen en 
gewenst gedrag te stimuleren. 

Rapportage 

Dit rapport beschrijft de governance, risk en compliance (hierna: GRC) organisatie 
bij NS op hoofdlijnen en bevat de belangrijkste conclusies en aanbevelingen. 
Hieronder een korte beschrijving van aspecten die hierbij van belang zijn. 

Governance is een managementbenadering rondom de 'deugdelijkheid' 
van ondernemingsbestuur. Hierin spelen in ieder geval de volgende 
elementen een belangrijke rol: sturing, beheersing, verantwoording en 
toezicht. 

Risk management is het proces van het beheersen van risico's. 

• Identificeren en analyseren van risico's 

• Ontwerpen en implementeren van maatregelen 

• Bewaken (monitoren en rapporteren) van risico's 

Compliance wil zeggen dat een organisatie werkt in overeenstemming 
met wet- en regelgeving, maar ook in overeenstemming met interne 
regels. 

Ten slotte gaan wij in op Audit om te beoordelen of en in welke mate de 
beheersmaatregelen rondom integriteitsrisico's en onregelmatigheden worden 
beheerst. 

De bevindingen op detailniveau, zijn geaggregeerd tot onderbouwde conclusies 
met betrekking tot de GRC-organisatie bij NS. De analyse is gericht op de 


organisatie en bedrijfsprocessen en niet op de verantwoordelijkheid van 
personen. 

Vanwege de vereiste vertrouwelijkheid tegenover de medewerkers die aan dit 
onderzoek hebben meegewerkt en vanwege de bedrijfsvertrouwelijkheid van de 
geraadpleegde documenten en de opgestelde memo's, bevat deze rapportage 
geen herleidbare citaten uit interviews en geen gedetailleerde beschrijvingen van 
interne procedures en documenten. 

Uitgevoerde werkzaamheden 

In het kader van de analyse hebben wij de volgende werkzaamheden verricht: 

• Verzamelen van relevante informatie betreffende de toegepaste 
risicobeheersing (procedures, protocollen, reglementen) binnen de 
bedrijfsonderdelen en staven over de periode 1 januari 2013 tot en met 1 mei 
2015 

• Analyseren van de verzamelde informatie 

• Interviewen van sleutelfunctionarissen van NS 

• Opstellen van een vragenlijst betreffende bedrijfscultuur en integriteit en 
uitzetten in de organisatie 

• Faciliteren van plenaire sessies met medewerkers van de werkplaats 
NedTrain, rijdend personeel van NS Reizigers en winkelmedewerkers van NS 
Stations waarbij de vragenlijst betreffende bedrijfscultuur en integriteit via 
stemkastjes zijn doorlopen 

• Site visits bij bedrijfsonderdelen en inhoudelijke gesprekken met 
medewerkers van de betreffende onderdelen 

• Verificatie van bevindingen door NS-medewerkers 

• Opstellen rapport 

Daarnaast is een externe verificatie uitgevoerd op onze analyse door de heer 
André de Jong van ABDTOPConsult. 
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De analyse heeft zich gericht op de werkmaatschappijen van NS en de daarin 
opgenomen dochterondernemingen - niet zijnde stichtingen en commanditaire 
vennootschappen - waarin NS zeggenschap heeft en meer dan 50% 
aandelenbelang. De werkmaatschappijen zijn: 

• NS Reizigers BV 

• NS Internationaal BV 

• Abellio Transport Holding BV 

• NedTrain BV 

• NS Financial Services (Holding) Ltd. 

• NS Stations BV 

• NS Vastgoed BV 

• NS Insurance NV 

• NS Opleidingen BV 

• NS Lease BV 

In bijlage 2 is een overzicht van de dochterondernemingen van deze 
werkmaatschappijen opgenomen. 

Bij de uitvoering van de analyse hebben wij meer dan 2.400 interne documenten 
ontvangen, ruim 160 NS-medewerkers gesproken en ontvingen wij ruim 1.350 
geretourneerde vragenlijsten. Ten slotte zijn notulen en relevante bijlagen van de 
Executive Committee (hierna: ExCo), de Raad van Commissarissen en de 
Auditcommissie geanalyseerd (meer dan 600 documenten). Onze bevindingen 
zijn per bedrijfsonderdeel, activiteit en thema vastgelegd in gedetailleerde 
memo's. Deze memo's vormen de grondslag van de bevindingen in dit rapport. 
De bevindingen in deze memo's zijn door verantwoordelijke medewerkers 
geverifieerd. Voor een gedetailleerde beschrijving van de uitgevoerde 
werkzaamheden verwijzen wij naar bijlage 3. 


Ontwikkelingen tijdens het onderzoek 

De achtergrond van de analyse wordt gevormd door een aantal 
achtereenvolgende incidenten waarbij zich ernstige integriteitsinbreuken hebben 
voorgedaan. Door deze incidenten is de positie van zowel de Chief Executive 
Officer (hierna: CEO) als van de voorzitter van de Raad van Commissarissen 
(hierna: RvC) van NS onhoudbaar gebleken. 

Deze incidenten in samenhang met de aankondiging van deze analyse vanuit het 
Ministerie van Financiën en de RvC, hebben binnen NS al aanleiding gegeven tot 
zelfonderzoek en verbeteringen van de GRC-organisatie. Indien van toepassing, 
zullen wij deze al doorgevoerde verbeteringen aangeven. 

Leeswijzer bij dit rapport 

Bij het beoordelen van de GRC-organisatie, is allereerst een nader inzicht in de 
activiteiten en de omgeving van de NS van belang. Zo zijn voor het beheersen van 
risico's onder meer de volgende aspecten relevant: 

• de aard, diversiteit, geografische spreiding en complexiteit van de activiteiten 

• omgevingsfactoren, waaronder het wettelijk kader, toezichthouders en 
maatschappelijke stakeholders 

• de gevoeligheid voor publiciteit 

In dit rapport schetsen wij in hoofdstuk 3 eerst het profiel van NS, waarin kort op 
bovengenoemde factoren wordt ingegaan. Ook geven wij kort de historische 
ontwikkeling van NS weer. 

Vervolgens gaan wij in hoofdstuk 4 tot en met 10 specifiek in op de GRC- 
organisatie van NS, waarin achtereenvolgens een analyse volgt van: de 
governance structuur, de risk managementorganisatie en de compliance en 
controlemaatregelen voor zover gericht op het voorkomen van 
onregelmatigheden en niet-integer-gedrag. 
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Bij elk van de elementen van de GRC-organisatie, geven wij eerst de feitelijke 
situatie weer. Verbeterpunten zijn toegespitst op aanbevelingen ten aanzien van 
de GRC-organisatie om te komen tot een situatie waarin onregelmatigheden en 
niet-integer-gedrag zoveel als mogelijk kunnen worden voorkomen. 

De cultuur is een belangrijk onderdeel bij het tegengaan van ongewenst gedrag 
en het stimuleren van integriteit. In hoofdstuk 11 gaan wij daarom nader in op de 
integriteitscultuur bij NS. Onze bevindingen met betrekking tot de cultuur bij NS 
zijn gebaseerd op gesprekken met medewerkers en de beantwoording van de 
vragenlijst. 

Tot slot is een aantal specifieke bedrijfsprocessen en thema's beoordeeld, 
waarvan de risico's op niet-integer-gedrag en onregelmatigheden hoger zijn. 
Deze bedrijfsprocessen en thema's worden in de hoofdstukken 12 tot en met 18 
op hoofdlijnen beschreven, waarbij tevens wordt aangegeven wat er goed gaat 
op het gebied van integriteit en wat er beter kan. Deze laatste constatering leidt 
tot een aantal aanbevelingen. 
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3 Organisatie en structuur NS 


NS is een complexe organisatie met een diversiteit aan activiteiten, stakeholders 
en toezichthouders in binnen- en buitenland. De kernactiviteit van NS betreft het 
verzorgen van openbaar vervoer. Naast het openbaar vervoer verzorgt NS 
verschillende andere activiteiten, waaronder lease, verzekeringen, retail, 
fietsverhuur. Van één NS en één uniforme cultuur is daarom geen sprake. Verder 
betekent dit dat NS te maken heeft met veel nationale- en internationale 
toezichthouders. 

Het overgrote deel van de Nederlandse organisatie is gericht op het uitvoeren 
van de hoofdrailnetconcessie; deze concessie is veruit de grootste openbaar 
vervoerconcessie waardoor NS de grootste marktpartij is. De buitenlandse 
organisatie verricht haar activiteiten vaak als kleinere speler in een volledig 
commerciële omgeving. 

Deze factoren zijn medebepalend voor het benodigde volwassenheidsniveau en 
de inrichting van de GRC-organisatie. Verder hebben de recente incidenten en 
het feit dat NS voortdurend onder aandacht van de pers en politiek staat de 
noodzaak voor een volwassen GRC versterkt, omdat deze incidenten het 
vertrouwen van de stakeholders en toezichthouders hebben aangetast. 


3.1 Historie NS 


NS is in 1938 gevormd als samenvoeging van de Hollandsche Ijzeren Spoorweg 
Maatschappij en de Maatschappij tot Exploitatie van Staatsspoorwegen. NS 
wordt opgericht als naamloze vennootschap met de Staat der Nederlanden als 
enig aandeelhouder. Het Ministerie van Verkeer en Waterstaat vervulde op dat 
moment de rol van aandeelhouder. NS is op dat moment zowel beheerder van de 
railinfrastructuur als vervoerder op het spoor. Tot eind jaren 80 beschrijven 
medewerkers het bedrijf als een paternalistisch en militair gestuurd bedrijf. 


Spoorliberalisering en verzelfstandiging NS 

Tegen de achtergrond van Europese ontwikkelingen op het spoor 1 , gaat de 
Nederlandse overheid in 1995 over tot het organisatorisch meer op afstand 
plaatsen van NS. 2 Bij deze reorganisatie worden de subsidies aan NS afgebouwd. 
Ook wordt een scheiding aangebracht tussen het beheer van de railinfrastructuur 
en de exploitatie van vervoersdiensten. 

Met de 'verzelfstandiging' in 1995 worden de verschillende activiteiten van NS 
ondergebracht in bedrijfsonderdelen die als profit center moeten gaan 
functioneren. In deze structuur blijkt een goede samenwerking tussen de NS- 
onderdelen niet vanzelfsprekend. 3 Begin 2000 roept de introductie van het 
project 'Bestemming: klant' (ook wel 'rondje om de kerk' genoemd) veel interne 
weerstand op. Er volgen stakingen gesteund door de vakbonden. De 
voorgenomen organisatorische wijzigingen leiden tot wantrouwen tussen 
bedrijfsonderdelen. Ook de politiek mengt zich actief in de discussie. 

Uiteindelijk wordt de crisis zo groot, dat directie en RvC van NS eind 2001 hun 
functie neerleggen en er een interim-directie wordt aangesteld. Medewerkers 
kenmerken deze periode als 'arbeiderszelfbestuur' waarin zij vanuit hun taak 
zelfstandig beslissingen namen. 


1 Onder meer als gevolg van richtlijn 91/440, Europese Unie 1991 

2 In de publiciteit vaak aangeduid als verzelfstandiging. Formeel klopt deze term echter niet aangezien NS altijd 
als N.V. heeft gefungeerd. 

3 Bron: De Ontsporing, Silfhout en Van den Berg 
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Als onderdeel van de liberalisering van het spoor, wordt het spoorwegennet 
opgedeeld in een hoofdrailnet en regionale spoorlijnen. De exploitatie van 
vervoersdiensten op het hoofdrailnet wordt ondergebracht in een concessie, die 
door NS wordt uitgevoerd. De overige lijnen worden in regionale concessies 
ondergebracht en aanbesteed. Hierdoor zijn inmiddels ook andere vervoerders 
dan NS actief op regionale lijnen, zoals Arriva en Veolia. In 2002 wordt het beheer 
van de railinfrastructuur (ProRail) afgesplitst. 

In 2005 gaan de aandelen van NS over van het Ministerie van Verkeer en 
Waterstaat (nu Ministerie van Infrastructuur en Milieu) naar het Ministerie van 
Financiën. Sinds 2009 betaalt NS een concessievergoeding aan het Ministerie van 
Infrastructuur en Milieu. NS legt verantwoording af aan het Ministerie van 
Infrastructuur en Milieu over de afgesproken prestaties in de 
concessieovereenkomst. Eind 2014 heeft het Ministerie van Infrastructuur en 
Milieu de concessieovereenkomst voor het Nederlandse hoofdrailnet inclusief de 
HSL-Zuid tot 2025 onderhands aan NS gegund. 

Om de samenwerking tussen de verschillende bedrijfsonderdelen te faciliteren, 
worden rond 2005 verschillende centrale adviesfuncties gecreëerd. Doordat de 
verschillende bedrijfsonderdelen als zelfstandige profit centers functioneren, 
ontstaan binnen de organisatie zelfstandige belangen die niet noodzakelijkerwijs 
parallel lopen met het belang van NS als geheel. Doelstelling van centraler beleid 
is om meer coördinatie te bewerkstelligen en processen meer te 
professionaliseren en te regisseren. De zelfstandige positie van de verschillende 
bedrijfsonderdelen is daarbij nog steeds het uitgangspunt. De rol van de centrale 
staffuncties is adviserend. 


Deze ontwikkelingen zijn bepalend geweest voor de cultuur binnen NS. De 
ontwikkelingen zijn veelal beïnvloed door wet- en regelgeving en de politieke 
agenda. De verzelfstandiging leidde tot verschillende bedrijfsonderdelen die niet 
optimaal samenwerkten. Er was sprake van losse bedrijfsonderdelen, met eigen 
belangen die hun eigen resultaten en doelstelling nastreefden. 

Ook na de invoering van de centrale staffuncties in 2005 blijft de samenwerking 
tussen de verschillende bedrijfsonderdelen suboptimaal. Uit een benchmark 
onderzoek van Hackett in 2012, blijkt dat de financiële prestaties van de 
onderdelen van NS achterblijven bij vergelijkbare bedrijven in de sector. De 
functionele aansturing van NS is 'verkokerd' over de verschillende 
bedrijfsonderdelen en de prestaties blijven achter. In 2012 is daarom de strategie 
van zelfstandige profit centers herzien en is besloten om de functionele 
aansturing van NS te centraliseren ('één NS'). 

Om de financiële prestaties verder te verbeteren, is besloten de organisatie te 
'kantelen', dat wil zeggen de verantwoordelijkheden op het gebied van bepaalde 
functies niet langer decentraal, maar centraal te organiseren. Om deze omslag te 
maken is in 2013 het TOP-programma gestart, waarin een looptijd van drie tot vijf 
jaar is voorzien om de kanteling van de organisatie te bewerkstelligen. Alle 
professionele competenties komen daarbij centraal onder beheer. Zie hiertoe 
verder hoofdstuk 5. 

Ontwikkeling Abellio 

Terwijl buitenlandse partijen actief worden op delen van het Nederlandse spoor, 
ontstaat bij NS de behoefte om ook in het buitenland activiteiten te ontwikkelen. 
Hiertoe richt NS in 2001 dochteronderneming NedRailways (thans Abellio 
genaamd). Sinds de oprichting in 2008 tot 2013 maakte Qbuzz onderdeel uit van 
de Nederlandse NS organisatie; NS hield 49% van de aandelen. In 2013 is het 
resterende deel (51%) overgenomen en is Qbuzz bij Abellio ondergebracht. 
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Om de financiële risico's te beperken, stuurt NS Abellio vanaf de start van haar 
activiteiten aan als een financiële deelneming op afstand. In 2003 en 2004 
verwerft Abellio de eerste twee concessies in joint venture met Serco, te weten 
Merseyrail en Northern Rail. Momenteel is Abellio actief in het Verenigd 
Koninkrijk, Duitsland en Nederland met zowel bus- als treinvervoer. Naar 
verwachting zal in 2015 de omvang van Abellio qua omzet 40% van het geheel 
bedragen. 


3.2 Bedrijfsactiviteiten NS 


Kernactiviteiten 

NS is een in Nederland gevestigd openbaar vervoerbedrijf, met substantiële 
buitenlandse activiteiten. NS is een 100% Nederlandse staatsdeelneming met een 
belangrijke maatschappelijke rol in de Nederlandse samenleving. De 
hoofdactiviteit van NS is reizigersvervoer op het spoor. In Nederland en in het 
buitenland (Abellio), maken dagelijks meer dan 2,6 miljoen mensen gebruik van 
de diensten van NS. 

In Nederland is de belangrijkste activiteit van NS het uitvoeren van de concessie 
voor het treinvervoer op het Nederlandse hoofdrailnet en de HSL-Zuid. 
Organisatorisch is NS in Nederland onderverdeeld in een aantal 
bedrijfsonderdelen, die gezamenlijk een rol vervullen bij het uitvoeren van de 
hoofdrailnetconcessie in Nederland. NS exploiteert het hoofdrailnet al decennia 
lang. In Nederland is NS met deze concessie de grootste partij in het verzorgen 
van openbaar vervoer. 


Abellio exploiteert verschillende buitenlandse openbaar vervoer concessies (trein 
en bus) en de Nederlandse bus concessies van Qbuzz. De verschillende concessies 
die Abellio exploiteert kennen ieder hun eigen profiel, voorwaarden en 
looptijden. De internationale operatie bevindt zich in een andere positie dan de 
Nederlandse operatie. In het Verenigd Koninkrijk en Duitsland heeft NS dochter 
Abellio een bescheiden marktaandeel. In Scandinavië is thans alleen een 
biedingsteam werkzaam. In deze regio's wordt geopereerd in een volledig 
commerciële omgeving, waarbij Abellio biedt op concessies die ter openbare 
bieding op de markt worden gebracht ten einde marktaandeel te verwerven. 

In 2014 realiseerde NS Groep met ruim 28.000 medewerkers een omzet van circa 
€4,1 miljard. In 2015 zal de omzet naar verwachting toenemen tot €4,8 miljard, 
waarbij circa 60% van de omzet gerealiseerd zal worden in Nederland, terwijl de 
omzet uit de buitenlandse concessies (onder Abellio) circa 40% van het geheel zal 
bedragen. 

Overige activiteiten 

Naast het openbaar vervoer verzorgt NS diverse andere activiteiten. Dit betreffen 
sterk verwante activiteiten aan het openbaar vervoer, maar tevens minder 
verwante activiteiten, zoals: 

• Lease activiteiten 

• Corporate & Business Cards 

• Retailactiviteiten op stations (zowel food als non-food) 

• Fietsverhuur en-stalling 

• Verzekeringsactiviteiten 
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Omzetverdeling 

De omzetverdeling over de verschillende bedrijfsonderdelen en 
dochteronderneming Abellio is hieronder weergegeven: 


Overige bedrijfsonderdelen 
€60 miljoen 
500 medewerkers 



8.000 medewerkers 


Figuur 3.1: Verdeling opbrengsten naar bedrijfsonderdeel en dochterondernemingen (Bron: 
Jaarverslag 2014) 

NS Reizigers (inclusief NS Internationaal): is verantwoordelijk voor de uitvoering 
van het treinvervoer op het Nederlandse hoofdrailnet en de HSL-Zuid en de 
daarmee samenhangende verkoop- en serviceactiviteiten. NS Reizigers 
realiseerde in 2014 met 11.000 medewerkers een omzet van €2,1 miljard. 


NedTrain verzorgt het onderhoud van treinen in Nederland. Het 
bedrijfsonderdeel heeft ongeveer 3.000 medewerkers en een omzet van €500 
miljoen; dit betreft vooral omzet bij NS Reizigers. 

NS Stations neemt het beheer en de exploitatie van de 406 Nederlandse stations 
en de ontwikkeling op en rond deze stations voor haar rekening. NS Stations 
heeft een omzet van €600 miljoen en ongeveer 5.700 medewerkers. 

Abeilio is verantwoordelijk voor de exploitatie van de buitenlandse concessies in 
het Verenigd Koninkrijk en Duitsland. In 2014 werd een omzet gerealiseerd van 
€1,3 miljard (exclusief joint ventures). Door het verwerven van de concessie van 
ScotRail zal deze omzet naar verwachting stijgen naar €1,9 miljard. Onderstaand 
is een nadere splitsing opgenomen van de omzet van Abellio over 2014 en het 
aantal fulltime-equivalents (fte's) ultimo 2014. Per 1 april 2015 is de ScotRail- 
concessie onderdeel van Abellio. 


Tabel 3.2 


Onderdeel 

Omzet 2014 
(x Cmln.) 

Aantal Fte 

ultimo 2014 

Merseyrail (50%) 

94 

1,200 

Nothern (50%) 

352 

5,000 

UK joint ventures 

446 

6,200 

Abellio Greater Anglia 

862 

3,000 

Abellio London Surrey Bus 

174 

2,200 

Abellio Corporate Travel 

2 

0 

Operating companies UK 

1,484 

11,400 

Abellio Duitsland 

78 

500 

Abellio Nederland 

204 

1,900 

Subtotaal operating 

1,766 

13,800 

companies 

Joint ventures adjustment 

-446 

-6,200 

Omzet Abellio geconsolideerd 

1,320 

7,600 
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Extern toezicht en verantwoording 

Als gevolg van de verscheidenheid aan activiteiten van NS zijn diverse 
toezichthouders relevant voor NS. Denk in Nederland hierbij aan: 

• Autoriteit Consument en Markt (ACM) voor mededinging en sectorspecifieke 
marktregulering 

• Inspectie Leefomgeving en Transport (ILT) voor veiligheid op het spoor 

• College bescherming persoonsgegevens (hierna: CBP) voor bijvoorbeeld 
reizigersgegevens 

• De Nederlandsche Bank (DNB) en Autoriteit Financiële Markt (AFM) voor de 
verzekerings- en leaseactiviteiten 

In buitenlandse concessies heeft NS te maken met de diverse lokale 
toezichthouders en overheidsinstanties. Denk hierbij aan: 

• Competition and Markets, BundesKartellamt, Konkurensverket (mededinging) 

• European Data Protection Supervisor, Information Commissioner's Office, 
Bundesdatenschutzgesetz (bescherming persoonsgegevens) 

• Office of Rail and Road, Eisenbahn-Bundesamt (toezicht op het spoor) 

Met betrekking tot aandeelhouderszaken legt NS verantwoording af aan het 
Ministerie van Financiën. Daarnaast legt NS verantwoording af met betrekking tot 
de uitvoering van de concessies aan het Ministerie van Infrastructuur en Milieu in 
haar rol van concessieverlener. Ook in het buitenland legt Abellio verantwoording 
af aan de concessieverlener. 


3.3 Concessies 


Hieronder zijn de concessies die NS exploiteert schematisch weergegeven: 


Concessies van NS in Europa 

In Nederland, Duitsland en het Verenigd Koninkrijk 


Nederlandse Spoorwegen ■ ' ■ Andere spoorwegen 

Intercity direct - Andere hogesnelheidsiynen 

ADefto Deutschland RandstadRal - fcghtrai 

ADeio Deutschland. verzorgd door JVcompanyWestfalenBahn - Qbuzz* 

Abefco Graater Angla Abefco Lenden & Suney busvervoer* 

Northern Rad, een joint vent ure van SercoTAbefco O o tramstatiën 

Merseyral. een jont venture van Serco/Abefco 0e tramstation met Qbuzz 

• • Busstation 

‘•Busiynen zijn mdcatef 


Figuur 3.3: Bron Jaarverslag NS 2014 

Zie voor meer informatie over de concessies bijlage 4. 



United.Kmg 
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4 Kader GRC 


4.1 Inleiding 


De Nederlandse Corporate Governance Code beschrijft dat de gewenste 
governance situatie onder meer een ondernemingsbestuur omvat waarin de 
lange termijn belangen van de diverse stakeholders worden meegewogen. 
Uitgangspunten zijn goed ondernemerschap, waaronder integer en transparant 
handelen door het bestuur, onafhankelijk en voldoende deskundig toezicht en 
het afleggen van verantwoording over het uitgeoefende toezicht. 


4.2 GRC in het kader van de opdracht 


GRC is van belang om bedrijfsdoelstellingen te realiseren, omdat GRC helpt de 
organisatie om efficiënter haar risico's te beheersen. 

De vraag in deze opdracht is meer specifiek of de governance van NS ook 
voldoende is om onregelmatigheden en niet-integer-gedrag te beheersen. Is de 
huidige GRC-organisatie voldoende gezien het risicoprofiel van de organisatie. 

Zoals eerder beschreven wordt bij het beheersen van integriteitsrisico's en 
onregelmatigheden vaak gesproken over de GRC-organisatie. Bij de analyse van 
de GRC-organisatie gaan wij in op governance, risk management, ethiek en 
compliance. Onze analyse is in het kader van deze opdracht telkens gericht op de 
beheersing van integriteitsrisico's en onregelmatigheden, als ook op het 
stimuleren van gewenst gedrag. 

Vanuit governance geldt de noodzaak voor een goed sturingsmechanisme om 
tijdig (bij) te sturen, te beheersen en verantwoording af te leggen, maar ook om 
toezicht te blijven houden op de activiteiten. 


Als een organisatie haar doelstellingen wil realiseren, dan dienen risico's effectief 
en efficiënt beheerst te worden. Om het risico op reputatieschade te voorkomen, 
dient te worden voldaan aan wet- en regelgeving (compliance). 

De toenemende aandacht voor GRC volgt tevens uit een toenemende kritische 
houding van stakeholders en toezichthouders. Organisaties moeten aantonen dat 
zij 'in control' zijn. 


4.3 Opzet rapport 


Voor een goede beheersing van integriteitsrisico's en onregelmatigheden is zowel 
de informele- als de formele organisatie belangrijk. Deze vormen het fundament 
en de bouwstenen. Consistentie tussen de formele en informele organisatie is 
belangrijk. Dit betekent dat de structuur (Deel C) en cultuur (Deel D) van de 
organisatie consistent dienen te zijn en elkaar dienen te versterken. 

De informele organisatie ziet toe op hoe mensen met elkaar omgaan en wat men 
gezamenlijk nastreeft. Denk hierbij aan kernwaarden, cultuur, voorbeeldgedrag 
et cetera. 
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Met de formele organisatie wordt gedoeld op de inrichting van de organisatie, de 
organisatiestructuur en de formele aansturing en verantwoordelijkheden. Denk 
hierbij aan de wettelijke rechten en plichten van bestuurders, de statutaire 
bevoegdheden, mandaten etc. Maar ook hoe verantwoording wordt afgelegd en 
hoe toezicht wordt gehouden. Hiertoe behandelen wij achtereenvolgens: 

Hoofdstuk 

5 Inrichting organisatie 

6 Governance Nederlandse NS-organisatie (sturing, beheersing, 
verantwoording en toezicht) 

7 Governance Abellio (sturing, beheersing, verantwoording en 
toezicht) 

8 Risk management 

9 Ethics & Compliance 

10 Audit 
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5 Inrichting organisatie 


NS bestaat uit Nederlandse bedrijfsonderdelen, buitenlandse 
dochterondernemingen en participaties. Zoals hiervoor aangegeven zijn de 
Nederlandse bedrijfsonderdelen vooral actief met het gezamenlijk uitvoeren van 
de concessie van het hoofdrailnet, terwijl Abellio meerdere concessies in 
verschillende landen exploiteert, zie bijlage 4. 

In dit rapport benoemen wij de Nederlandse activiteit van NS als 'Nederlandse 
NS-organisatie'. De internationale activiteiten inclusief Qbuzz benoemen we als 
'Abellio'. Daar waar wij 'NS' schrijven, verwijzen wij naar de gehele NS- 
organisatie. 

Het beheersings- en aansturingsmodel van de Nederlandse NS-organisatie en 
Abellio is wezenlijk verschillend. Dit verschil in aansturing is een bewuste keus 
van NS (zie hoofdstuk 6 en 7). 

In Nederland werkten tot 2012 de bedrijfsonderdelen als zelfstandige profit 
centers. In 2012 is de strategie van zelfstandige profit centers herzien en is 
besloten om de functionele aansturing van NS te centraliseren ('Eén NS'). 
Besloten is de Nederlandse NS-organisatie te 'kantelen', dat wil zeggen de 
verantwoordelijkheden op het gebied van bepaalde functies niet meer decentraal 
maar centraal te organiseren; een matrixorganisatie waarbij staven op 
groepsniveau zijn gecentraliseerd. Deze staven ondersteunen de 
bedrijfsonderdelen op de belangrijkste processen (Finance, Procurement, HR, NS 
Legal, IT, Audit et cetera.). Op zichzelf is de kanteling een logische beweging, 
gezien het feit dat door de Nederlandse bedrijfsonderdelen gezamenlijk 
uitvoering wordt gegeven aan de hoofdrailnetconcessie inclusief HSL-Zuid. 

Bij Abellio is sprake van een piramide-organisatie waarbij de aansturing door de 
landenorganisaties en de directies van de Operating Companies (hierna: OpCo's) 
plaatsvindt. De OpCo's zijn per concessie georganiseerd. Per concessie verschillen 
de eisen en verplichtingen van de concessiehouder. 


De verschillende OpCo's worden aangestuurd door de landenorganisaties (Abellio 
UK, Abellio Duitsland en Abellio Scandinavië). Deze landenorganisaties worden 
vervolgens aangestuurd door Abellio Holdings. De betrokkenheid van de staven 
van NS bij de Abellio-organisatie is zeer beperkt. 

Schematisch is het verschil in aansturing als volgt weer te geven (vereenvoudigde 
weergave): 



Figuur 5.1 
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6 Governance Nederlandse NS-organisatie 


6.1 Formele structuur 


NS is een 100% staatsdeelneming. Het Ministerie van Financiën houdt de 
aandelen. De sturing van de NS-organisatie ligt bij de RvB. De RvB stelt de visie en 
de daaruit voorkomende missie, strategie en doelstellingen vast. De ExCo is 
verantwoordelijk voor de uitvoering van de NS-strategie. 

De RvB maakt deel uit van de ExCo, die verder bestaat uit de directieleden van de 
bedrijfsonderdelen NS Reizigers, NS Stations, NedTrain, de directeuren HR & 
Organisatieontwikkeling en de directeur Communicatie & Strategie en de CEO 
van Abellio. De RvB bestaat uit een CEO en Chief Financial Officer (hierna: CFO). 
De CEO en de CFO zijn de statutair bestuurders van NS. Daarnaast is het besluit 
genomen om een bestuurder aan te trekken met als specifieke 
verantwoordelijkheid GRC. 

De governance van NS is gebaseerd op het verlicht (of gemitigeerd) 
structuurregime. Bij een verlicht structuurregime heeft de Algemene vergadering 
van Aandeelhouders (hierna: AvA) ook het recht om bestuurders te benoemen. 
De RvC houdt toezicht op het beleid van de RvB. 


6.2 Verantwoording en toezicht 


De verhouding tussen de verschillende bestuursorganen is vastgelegd in: 

• de wet 

• de statuten NS van 12 maart 2008 (hierna: statuten NS) 

• het RvC-reglement van 7 oktober 2009 (hierna: RvC-reglement) 

• het RvB-reglement van 10 november 2014 (hierna: RvB-reglement) 

• het ExCo-reglement van 10 november 2014 (hierna: ExCo-regelement) 


In het geactualiseerde RvB-reglement is de verhouding met de ExCo formeel 
vastgelegd. 

RvB-reglement 

Het RvB-reglement is in 2014 geactualiseerd, onder meer vanwege de wijziging in 
de besturing van NS door het formeren van de ExCo. Het Reglement is 
goedgekeurd door de RvC op 8 oktober 2014 en vastgesteld door de RvB op 10 
november 2014. Het Reglement is gepubliceerd op de website van NS. In 
Hoofdstuk I van het Reglement wordt de samenstelling van de RvB geregeld. De 
leden van de RvB worden benoemd door de AvA op voordracht van de RvC. Met 
betrekking tot de rol van de ExCo wordt bepaald dat deze de RvB bijstaat in het 
behalen van de doelstellingen van NS en bij de implementatie en uitvoering van 
de strategie zoals bepaald door de RvB. 

Hoofdstuk II van het RvB-reglement gaat nader in op de taken en bevoegdheden 
van de RvB. Het Reglement maakt duidelijk dat de RvB belast is met het besturen 
van NS en hierover verantwoording aflegt aan de RvC en de AvA. Ten aanzien van 
de besluitvorming (Hoofdstuk III), wordt aangegeven, dat de RvB bij zijn 
besluitvorming telkens een (eventueel) door de ExCo genomen besluit of gegeven 
advies over hetzelfde onderwerp in overweging neemt. Indien de stemmen in de 
RvB staken, zal het besluit worden voorgelegd aan de RvC. 

ExCo-reglement 

Het ExCo-reglement is eveneens in 2014 in werking getreden, goedgekeurd door 
de RvC op 8 oktober 2014 en vastgesteld door de RvB op 10 november 2014. In 
het RvB-Reglement staat dat het ExCo-Reglement een aanvulling is op het RvB- 
Reglement. 
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In hoofdstuk I van het ExCo-reglement staat dat de ExCo bestaat uit: de leden van 
RvB, de directievoorzitter van de Bedrijfsonderdelen, de Directeur HR en de 
Directeur Communicatie & Strategie en eventueel andere personen. De voorzitter 
van de ExCo is de CEO. Voor wat betreft de taken en bevoegdheden is bepaald 
dat de ExCo ook besluitvormende taken heeft, die vooral gericht zijn op de 
implementatie en uitvoering van de strategie en de vaststelling van beleid. 
Tevens is aangegeven dat de RvB de statutaire eindverantwoordelijkheid van NS 
heeft. 

Voor wat betreft de vergaderingen van de ExCo (Hoofdstuk III), is bepaald dat 
deze worden geleid door de CEO of, bij diens afwezigheid, door de CFO. Er zal 
geen ExCo vergadering plaatsvinden zonder aanwezigheid van ten minste een van 
beiden. 

Investeringsmanual 

In het Investeringsmanual van 1 juli 2014 (hierna: het Investeringsmanual) wordt 
een praktische uitwerking gegeven aan de mandatering inzake investeringen 
binnen de Nederlandse NS-organisatie en Abellio. Het Investeringsmanual is van 
toepassing op alle mogelijke uitgaven en inkomsten in relatie tot investeringen, 
desinvesteringen en vergelijkbare beslissingen. 

In het Investeringsmanual bestaan verschillende autorisatiegrenzen voor uitgaven 
die boekhoudkundig worden geactiveerd en afgeschreven (Capital Expenditures 
of CAPEX) en uitgaven die als exploitatiekosten direct in de verlies- en 
winstrekening worden geboekt (Operating Expenditures of OPEX). Directies van 
bedrijfsonderdelen zijn geautoriseerd tot CAPEX-investeringen van maximaal €5 
miljoen en OPEX-investeringen tot maximaal €25 miljoen. De ExCo besluit over 
CAPEX-investeringen tussen de €5 en €25 miljoen en OPEX-investeringen boven 
€25 miljoen. Voor CAPEX-investeringen boven €25 miljoen is goedkeuring van de 
RvC vereist. 


Voor biedingen op concessies in landen waar NS geen activiteiten heeft, is altijd 
een RvC-besluit nodig. Voor concessiebiedingen in landen waar NS al actief is, 
heeft de directie van het bedrijfsonderdeel autorisatie tot een 
investeringswaarde van €5 miljoen. Bij een investeringswaarde tussen de €5 en 
€25 miljoen is een besluit van de ExCo vereist. Bij een investeringswaarde boven 
€25 miljoen is goedkeuring van de RvC vereist. 

Bevoegdhedenreglement 

In het concept-bevoegdhedenreglement van 16 april 2015 (hierna: 
bevoegdhedenreglement) is onder meer de rol van de ExCo in de uitvoering van 
besluitvorming van de organisatie opgenomen. Het bevoegdhedenreglement 
bevat een overzicht van het geactualiseerde RvB-reglement, het ExCo-reglement 
en de Investeringsmanual. 

Dit bevoegdhedenreglement dient ter vervanging van het directiereglement 
Nederlandse Spoorwegen uit 2006 (hierna: directiereglement 2006). Het 
directiereglement 2006 is verouderd en de investeringsgrenzen zijn diverse malen 
geamendeerd. Ook gaat het directiereglement 2006 nog uit van het oude 
besturingsmodel, voor de vorming van de ExCo. Het bevoegdhedenreglement 
heeft geruime tijd ter instemming voorgelegen bij de ondernemingsraad maar is 
nog niet geaccordeerd. Op dit moment wordt gewerkt aan een nieuwe versie van 
het bevoegdhedenreglement die opnieuw aan de Ondernemingsraad zal worden 
voorgelegd. 

Momenteel werkt NS naar de geest van het bevoegdhedenreglement. NS Legal 
heeft aangegeven dat het bevoegdhedenreglement een overzicht van de 
goedkeuringsprocedure betreft van het RvB-reglement, het ExCo-reglement en 
het Investeringsmanual die allen in 2014 in werking zijn getreden. 
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6.3 Aansturing en beheersing 


De beleidsmatige sturing en beheersing is direct van toepassing op de 
Nederlandse bedrijfsonderdelen van NS. Voor wat betreft de uitvoering van het 
beleid stuurt de ExCo de bedrijfsonderdelen aan via een goed ontwikkelde 
financiële rapportagestructuur en planning- en control cyclus. Verder worden, 
naast de bestaande bedrijfsonderdelen en de Financefunctie, ook de functionele 
domeinen HR, IT, Procurement, Communicatie & Strategie, Legal en Audit 
onderscheiden. 

De beheersing van de Nederlandse NS-organisatie is sterk gericht op financiële en 
operationele prestatieafspraken, aangeduid als 'Key Performance Indicators' 
(KPI's), zoals afspraken over punctualiteit en veiligheid. Deze KPI's worden 
gevolgd via maandrapportages per bedrijfsonderdeel. De beheersmaatregelen 
worden gemonitord door de Auditcommissie en de RvC. 

De financiële sturing binnen de Nederlandse NS-organisatie is sterk 
geformaliseerd. Er is een SharePoint omgeving ingericht waarin alle geldende 
procedures en richtlijnen zijn opgenomen. De belangrijkste procedure is de 
reporting manual met daarin het gehele finance framework zoals: 

• Planning-en control cyclus 

• Verslaggevingsrichtlijnen 

• Interne regels Administratieve Organisatie 

• Rapportagetool 

• Richtlijnen Business Plan, Budget en rapportages, belastingen en 
subsidiezaken, financiën, cash management, investeringen et cetera 

Op verzoek van directies worden door de afdeling Planning & Control onder 
andere de volgende rapportages aangeleverd: investeringsvoorstellen, 
kostprijsoverzichten, risico-inventarisaties, specifieke management rapportages, 
kasstroomoverzichten, kredietwaardigheidsonderzoeken, CAPEX / OPEX- 
rapportages, KPI sturingsinformatie, life-cyclekostenrapportage en 
projectcalculaties. 


Financiële rapportages aan aandeelhouder 

Het Ministerie van Financiën ontvangt per kwartaal een samenvatting van de NS- 
rapportage. Het betreft een samenvatting van de belangrijkste gebeurtenissen in 
de operatie, ontwikkelingen hoofddoelstellingen, operationeel resultaat, 
prognose conform budget, investeringen en een balans met de financiële 
weergave. De hoofddoelstellingen betreffen klantoordeel, reizigerspunctualiteit, 
RepTrak en lost-time-injury-frequencyrate. 

In het hoofdstuk 'Belangrijkste gebeurtenissen in de operatie' worden alle 
incidenten, verstoringen, nieuwe activiteiten, disciplinaire maatregelen, 
bedrijfsresultaat, prognose en investeringen weergegeven. NS bespreekt de 
highlights van de rapportage per kwartaal met het Ministerie van Financiën. 

Financiële rapportages aan RvC 

De RvC ontvangt per kwartaal rapportages van NS. Het betreft een uitgebreide 
rapportage waarin de volgende onderwerpen worden weergegeven: ontwikkeling 
hoofddoelstellingen, terugblik kwartaal, vooruitblik kwartaal, risk management, 
voortgang strategie, EBIT (Earnings Before Interest & Tax), investeringen, 
medewerkers, veiligheid, managementsamenvatting bedrijfsonderdelen en KPI 
overzicht. In de risk managementparagraaf worden de ontwikkelingen van 
belangrijke concernrisico's weergegeven en wordt aangegeven wat de 
speerpunten zijn voor het volgende kwartaal. De ontwikkelingen op het gebied 
van vaste bezetting, inhuur en ziekteverzuim worden nader toegelicht. Op het 
gebied van veiligheid wordt een toelichting gegeven over sociale veiligheid en 
spoorwegveiligheid. 
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Financiële rapportages aan ExCo 

De bedrijfsonderdelen en staven van de Nederlandse NS-organisatie leveren 
maand- en kwartaalrapportages aan ten behoeve van de ExCo. Daarnaast wordt 
per kwartaal door het management van programma's en overige afdelingen 
rapportages aangeleverd. De kwartaalrapporten voor de ExCo bevatten dezelfde 
inhoud als de kwartaalrapporten die naar de RvC gaan. De maandrapporten 
bevatten een korte weergave van de bijzonderheden in de operatie, belangrijke 
niet financiële prestatie-indicatoren, taakstellingen en weergaven van de 
realisatie versus budget / prognose. De rapportage die naar de ExCo gaan worden 
door de afdeling Concern Planning & Control (hierna: CPC) vooraf geanalyseerd. 
Alle bijzonderheden en materiële financiële afwijkingen (>€1 miljoen) worden 
besproken met de CFO's van de bedrijfsonderdelen / afdelingsdirecteuren. 


6.4 Analyse en verbeterpunten 


Het bevoegdhedenreglement is een belangrijk stuk met betrekking tot de 
governance tussen het bestuur van de Nederlandse NS-organisatie en de directies 
van de bedrijfsonderdelen. 

Op dit moment is het directiereglement 2006 formeel nog geldend. Door de 
vorming van de ExCo en de integratie van de staven in het TOP-programma is de 
bestuurlijke realiteit van de Nederlandse NS-organisatie veranderd en het 
directiereglement 2006 verouderd. Actualisering van het directiereglement 2006 
is vanuit de optiek van een transparante governance noodzakelijk. 

Wij bevelen aan een hoge prioriteit te geven aan het vastleggen van de huidige 
governance, zodat de verhouding tussen het bestuur, de ExCo en de 
bedrijfsonderdelen bij de Nederlandse NS-organisatie transparant is. 

De beheersing is sterk gericht op financiële en operationele prestatieafspraken, 
aangeduid als KPI's, zoals afspraken over punctualiteit en veiligheid. Gezien de 
ernstige integriteitsinbreuken die recent aan het licht zijn gekomen, verdient het 
aanbeveling om de beheersing eveneens specifiek in te richten op het voorkomen 
van integriteitsinbreuken. Dit kan bijvoorbeeld door KPI's op het gebied van 
integriteit af te spreken en integriteit als onderwerp mee te nemen in de 
maandelijkse rapportages. Door integriteit als specifiek onderwerp in de 
beheersing op te nemen, wordt het belang van het onderwerp in de governance 
van de Nederlandse NS-organisatie onderstreept. 
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7 Governance Abellio 


7.1 Formele structuur 


Ten aanzien van Abellio opereert NS als aandeelhouder op afstand, zodat 
eventuele financiële aansprakelijkheden beperkt blijven tot de gestelde garanties 
en het geïnvesteerd vermogen. Abellio heeft een eigen directie met zelfstandige 
bevoegdheden. 

In de aansturing van de verschillende concessies is er geen sprake van onderlinge 
integratie van staven, zoals bij de Nederlandse NS-organisatie het geval is. Het 
verschil in aansturing tussen de Nederlandse NS-organisatie en Abellio leidt tot 
een verschillende GRC-organisatie. Hier zal in de volgende paragraaf meer 
specifiek op in worden gegaan. 

NS is aandeelhouder van Abellio Transport Holding BV (hierna: ATH). Tussen NS 
en ATH bestaat een aandeelhoudersbesluit. ATH, de Abellio landenorganisaties 
evenals de individuele concessies hebben eigen statutaire directies. 


7.2 Verantwoording en toezicht 


De regelingen op het niveau van de Nederlandse NS-organisatie zijn niet (direct) 
van toepassing op ATH en haar dochterbedrijven, (andere) buitenlandse dochters 
en deelnemingen. Op het gebied van investeringsdrempels en mandatering zijn 
de regelingen bij NS via separate afspraken 'doorgezet' naar de buitenlandse 
dochters. 

Via 'het aandeelhouderbesluit met betrekking tot Abellio' van 15 oktober 2012 
(hierna: aandeelhoudersbesluit Abellio) houdt NS toezicht op de belangrijke 
besluiten binnen Abellio. In het aandeelhoudersbesluit Abellio is geregeld dat 
voor de volgende zaken - boven een grensbedrag - goedkeuring vereist is (niet 
limitatief): 


• het starten van juridische procedures, voor zover die niet gedeeld zijn met de 
Legal afdeling van NS 

• afwijkingen van het standaard beloningsbeleid van NS 

• openen nieuwe bankrekeningen 

• aan- en verkoop van valuta- / interestcontracten 

• (des)investeringen 

• aangaan van leaseconstructies 

• biedingen op concessies / business 

• participatie in aandelenkapitaal 

• starten van nieuwe en andere diensten 

• afsluiten van omvangrijke inkoopcontracten 

• samenwerkingsverbanden 


7.3 Aansturing en beheersing 


Algemeen 

Net als bij de Nederlandse NS-organisatie stuurt de ExCo van NS Abellio aan via 
een goed ontwikkelde financiële rapportagestructuur en planning- en control 
cyclus, met dien verstande dat de ExCo ATH als aandeelhouder aanstuurt. De 
aansturing en beheersing vanuit de ExCo ziet dus niet direct toe op de individuele 
concessies. De verantwoordelijkheid van het aansturen van de operationele 
concessies in het Verenigd Koninkrijk en Duitsland ligt bij de landenorganisaties 
en de individuele OpCo's. De keuze voor aansturing op afstand is gemaakt vanuit 
beheersing van het financiële risico voor NS en haar aandeelhouder. 
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De achterliggende gedachte is dat de verplichtingen voor NS met betrekking tot 
ATH bij een aandeelhoudersrelatie op deze wijze beperkt blijven tot het 
geïnvesteerd vermogen in Abellio en garanties die gesteld zijn. Bij een optreden 
als 'feitelijk bestuurder' van ATH zou NS aansprakelijk kunnen worden gehouden 
voor alle verplichtingen van ATH, hetgeen vanuit NS niet wenselijk wordt geacht. 

NS heeft geen 403 verklaring 4 afgegeven met betrekking tot ATH en haar 
dochterbedrijven. Tussen NS en ATH bestaat een aandeelhoudersbesluit, waarin 
staat aangegeven voor welke besluiten de directie van ATH goedkeuring moet 
verkrijgen van NS. De ExCo wordt geïnformeerd via een samenvatting van 
maandrapportages op het niveau van ATH. Deze rapportages zijn gericht op 
financiële en operationele KPI's. 

Volgens het aandeelhoudersbesluit Abellio moet ATH jaarlijks het business-, 
investerings- en financieringsplan ter goedkeuring voorleggen aan NS. 
Investeringsgrenzen zoals opgenomen in het Investeringsmanual zijn ook geldend 
voor Abellio en zijn gelijk aan de grenzen voor de Nederlandse 
bedrijfsonderdelen. 

Financieel en operationeel 

Evenals bij de Nederlandse NS-organisatie is de beheersing sterk gericht op 
financiële en operationele prestatieafspraken, aangeduid als KPI's, zoals 
afspraken over punctualiteit en veiligheid. Deze KPI's worden gevolgd via 
maandrapportages per OpCo. 

Zoals beschreven in hoofdstuk 6 ontvangt het Ministerie van Financiën en de RvC 
per kwartaal een NS-rapportage, waarin tevens Abellio is opgenomen. 


4 Hoofdelijke aansprakelijkheidstelling voor de schulden van de dochter. 


ATH geeft instructies op de tussentijdse financiële en operationele rapportages. 
Deze instructies zijn gebaseerd op de NS-richtlijnen. ATH verstrekt deze 
instructies aan de verschillende landenorganisaties, die deze instructies weer 
verstrekken aan de OpCo's De diverse OpCo's rapporteren maandelijks aan de 
landenorganisatie die vervolgens aan ATH rapporteert. 

ATH ontvangt en beoordeelt de maandelijkse OpCo-boardrapportages en 
samenvattingen. De maandelijkse rapportages van de internationale OpCo's zijn 
omvangrijk en gedetailleerd. Dit geldt niet voor de maandrapportage van Qbuzz 
die veel minder gedetailleerd is. Zo bevatten diverse maandrapportages van de 
internationale OpCo's meer dan 200 pagina's, waar Qbuzz 7 pagina's beslaat. 

Bij de maandelijkse OpCo-boardmeetings is, naast de OpCo-directie, de 
landendirectie aanwezig. In sommige gevallen is ook een vertegenwoordiging van 
ATH bij deze vergadering aanwezig. 

ATH verstrekt per maand en per kwartaal een samenvattend overzicht van de 
prestaties aan NS. Deze rapporten worden besproken in het ExCo-overleg. In dit 
rapport worden de volgende onderwerpen behandeld: business development, 
operational en financial. Deze onderwerpen worden vervolgens verder 
uitgewerkt en toegelicht per land. Zo wordt bij business developments onder 
andere (lopende) offerteprocedures toegelicht. Bij operational performance 
worden de scores op PPM, NPS en Safety toegelicht, evenals sustainability. In de 
rapportage is ook een afzonderlijk onderdeel 'Risk overview' opgenomen. 
Integriteit en onregelmatigheden zijn hierin niet als risico-onderwerpen vermeld. 

Integriteit 

De verantwoordelijkheid voor de beheersing van integriteitsrisico's en 
onregelmatigheden ligt bij de individuele OpCo's. Deze OpCo's hebben ieder hun 
eigen afdelingen inkoop, HR, juridische zaken, audit, compliance et cetera. 
Integriteitrisico's worden dus in de OpCo beheerst. De controlerend accountant 
merkt op dat de kwaliteit van financiële beheersing op de traditionele processen 
voldoende tot goed is. 
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Ten aanzien van aanstaande biedingen op concessies wordt de ExCo in 
overeenstemming met het aandeelhoudersbesluit Abellio geïnformeerd. ATH 
dient volgens het aandeelhoudersbesluit Abellio expliciet goedkeuring te 
verkrijgen van NS voor biedingen op concessies. 

In de relatie tussen NS en ATH is integriteit niet specifiek benoemd. Er is geen 
standaard ten aanzien van integriteit opgenomen in de 
aandeelhoudersovereenkomst of in de business plannen. Daarnaast is vanuit ATH 
naar de landenorganisaties en de landenorganisaties naar de individuele OpCo's 
geen standaard ten aanzien van integriteit gesteld. 


7.4 Ontwikkeling 


Mede door het groeiend aantal concessies werkt Abellio op dit moment aan het 
herijken van het Abellio-governancemodel, waarbij specifiek aandacht bestaat 
voor de balans tussen beheersing van risico's via het stellen van eisen en het 
aansturen en beheersen op afstand. Zo wordt overwogen Audit & Risk 
Committees te introduceren die aan de Country Boards rapporteren en de 
effectiviteit van interne procedures, risicobeheersing, compliance en 
controlemaatregelen bewaken. De landenorganisaties in het Verenigd Koninkrijk 
en Duitsland hebben in de operatie en het biedingsproces expliciet aandacht voor 
het beheersen van risico's. 


7.5 Analyse en verbeterpunten 


Vanuit risicobeheersing en het beperken van financiële aansprakelijkheden is het 
belangrijk de balans te houden tussen het bewaren van voldoende afstand en het 
voldoende in control zijn. Om voldoende in control te zijn ten aanzien van 
integriteitsrisico's adviseren wij om heldere eisen te stellen gericht op het 
beheersen van integriteitsrisico's aan Abellio. Deze eisen dienen in de 
businessplannen van Abellio opgenomen te worden en kunnen bijvoorbeeld in 
charters nader geconcretiseerd worden. Volgens het aandeelhoudersbesluit 
Abellio dient NS de businessplannen goed te keuren, waardoor zij kan afdwingen 
dat Abellio voldoet aan de standaard die NS - ook aan haar Nederlandse 
activiteiten - stelt. Denk hierbij aan: 

• Kernwaarden 

• Meldingen van incidenten 

• Gifts & hospitality 

• Awareness trainingen op specifieke onderwerpen (per jaar vaststellen) 

Daarnaast dienen deze standaarden ook een vast onderdeel uit te gaan maken 
van de maandelijkse rapportages van de OpCo's aan de landenorganisaties, als 
ook van de rapportages aan ATH en de ExCo. Hierdoor kan NS op deze 
onderwerpen sturen en toezicht houden. 
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8 Risk management 


In april 2014 heeft de RvC besloten dat een meerjarenstappenplan ontwikkeld 
diende te worden, dat erop gericht is risk management binnen NS naar een hoger 
plan te brengen en het bewustzijn te vergroten van het belang van risk 
management binnen alle lagen van de onderneming. 


8.1 Verantwoordelijkheid 


De bedrijfsonderdelen en uiteindelijk de RvB van NS zijn verantwoordelijk voor de 
beheersing van de risico's. Ter ondersteuning hiervan bestaat een risk 
managementstructuur, op basis waarvan de monitoring en opvolging van risico's 
plaatsvindt. 

Het rapporteren over de risico's door de diverse bedrijfsonderdelen aan de RvB is 
integraal onderdeel van de planning- en control cyclus. De RvB rapporteert en 
legt verantwoording af over het systeem van risicobeheersing en interne controle 
aan de RvC na een bespreking daarvan in de Auditcommissie. Daarnaast 
beoordeelt de externe accountant de kwaliteit van financiële beheersing op de 
processen. De controlerend accountant heeft de kwaliteit van financiële 
beheersing op de traditionele processen als voldoende tot goed gekwalificeerd. 


8.2 Organisatie 


Sinds 2004 is risk management per bedrijfsonderdeel ingevoerd. In 2012 is een 
plan opgesteld om de kwaliteit van het risk management binnen NS te verhogen. 
Hierbij is een aantal verbeteringen doorgevoerd, zoals de bepaling van een 
risicotolerantie tabel, een update van het risk managementbeleid en een 
risicoparagraaf in de jaarrekening. 

Tot een jaar geleden was het risk management onderdeel van de finance functie. 
In oktober 2014 is de verantwoordelijkheid voor risk management belegd bij de 


afdeling NS Risk & Audit. Tevens is een Chief Risk Officer (hierna: CRO) aangesteld 
met toegang tot de ExCo en RvC. 

Ook bij een aantal grotere programma's zijn risk managers aangesteld, zoals de 
materieelinvesteringsprogramma's, ERMTS. De directeur NS Risk & Audit is de 
verbindende schakel met de risk managers bij de bedrijfsonderdelen. Deze vallen 
hiërarchisch onder de financieel directeuren per bedrijfsonderdeel. Er ligt 
inmiddels een adviesaanvraag, waarbij de individuele riskmanagers onder 
aansturing van de afdeling NS Risk & Audit komen. 

De afdeling Risk management bestaat op dit moment uit twee fte's bij NS, dit is 
inclusief de CRO. Daarnaast werken binnen de verschillende bedrijfsonderdelen 
risk managers (totaal vijf fte's). De risk managers in de bedrijfsonderdelen zijn 
veelal tevens compliance officer (zie hoofdstuk 9). 

Binnen NS bestaat een Risk Committee bestaande uit de CFO van NS, de 
riskmanager en stafdirecteuren (audit, veiligheid, legal, communicatie, inkoop). 
Dit Risk Committee is sinds oktober 2014 niet meer bijeen gekomen. Als 
onderdeel van het nieuwe risk managementplan bekijkt NS de invulling van het 
Risk Committee. Binnen de ExCo worden regelmatig de concernrisico's 
besproken. 


8.3 Taken en werkwijze 


Bij de verschillende bedrijfsonderdelen van NS vinden risk assessments plaats op 
de belangrijkste projecten en processen. De risk managers hebben hierbij een 
faciliterende rol. Uit de risk assessments worden risico's verzameld en 
gecategoriseerd in strategische, operationele, financiële en compliance risico's. 
Op NS-niveau is een risicotolerantietabel aanwezig. Tot in 2014 werd integriteit 
niet als specifiek risico onderkend. 
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De start van de identificatie van risico's vindt plaats in het businessplanproces. 
Per kwartaal vindt een update van de status van de beheersing van de risico's en 
eventuele mutaties plaats. De risico's vormen een periodiek onderwerp in de 
directie-overleggen van de bedrijfsonderdelen. 

NS legt de risico's vast in een risicoregister. Elk kwartaal worden de risico's per 
bedrijfsonderdeel gerapporteerd en besproken in de ExCo als onderdeel van de 
planning- en control cyclus. In de ExCo worden de concernrisico's vastgesteld, 
geëvalueerd en geüpdatet. Op basis van de diverse risico-inventarisaties stelt de 
CRO een lijst van concernrisico's op. De CRO faciliteert de bespreking van de 
concernrisico's door de ExCo. 

De afdeling CPC beoordeelt investeringsvoorstellen en voorziet deze van een 
risicoparagraaf en advies aan de ExCo. Ook de afdeling NS Legal adviseert bij 
i nvesteri ngsvoo rstel Ie n. 


8.4 Risico rapportering en opvolging 


Bij de businessplannen is een risicoparagraaf toegevoegd. In maand- en 
kwartaalrapportages rapporteren de bedrijfsonderdelen over hun risico's. Op 
kwartaalbasis stelt CRO een concernriskrapportage op met daarin een update van 
de concernrisico's. Verder bevatten investeringsvoorstellen een risicoparagraaf 
en een separaat riskadvies. 

Het management is verantwoordelijk voor het opvolgen van geconstateerde 
risico's die buiten de acceptabele grens vallen. In maand- en kwartaalrapportages 
vindt rapportering plaats over de follow-up van uitstaande risico's. 


8.5 Ontwikkelingen 


In 2012 is een plan opgesteld om de kwaliteit van risk management te verhogen. 
Weliswaar zijn stappen voorwaarts gezet, maar toch is de progressie tot 2014 
beperkt. 

De RvC en de ExCo zijn van mening dat 'best in class' risk management 
noodzakelijk is om de NS-strategie te realiseren en de bedrijfscontinuïteit te 
waarborgen. Hiervoor hebben de voorzitter van de RvC en de CFO van NS medio 
2014 een visie op risk management ontwikkeld en een plan gemaakt om hiertoe 
te komen. Deze zijn besproken in de Auditcommissie. Hierna is in oktober 2014 
door de RvB besloten dat een nieuwe, meer professionele risk management 
aanpak in samenwerking met de RvC tot stand zal komen. Er is een CRO benoemd 
om Risk management vanuit de afdeling NS Risk & Audit op te zetten. Vanuit deze 
afdeling zal ook de coördinatie van de activiteiten van de risk managers uit de 
bedrijfsonderdelen gaan plaatsvinden. 

De RvC heeft eind 2014 de opzet en werking van het huidige risk 
managementsysteem van NS laten onderzoeken. De conclusie was dat bij NS een 
rudimentair systeem van risk management aanwezig is dat vooral gericht is op 
operationele- en veiligheidsrisico's. Verder concludeert dit onderzoek dat in het 
huidige risk managementsysteem onvoldoende sprake is van een brede, 
geïntegreerde aanpak bij het managen van de risico's waaraan het als openbaar 
vervoersbedrijf mee te maken heeft. 

Zoals ook blijkt uit de risicomatrix in de jaarrekening van NS is het risico op 
integriteitsaspecten niet expliciet benoemd als strategisch risico. 

Aangezien NS werkt aan een verbetering van het huidige systeem, zal hieronder 
specifiek worden ingegaan op de opzet van het gewenste systeem, de stappen 
die al zijn ondernomen ter implementatie en het tempo waarin deze stappen 
worden gezet. 
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8.6 Risk managementtransitie 


Om een blauwdruk te ontwikkelen voor risk management bij NS in 2017 heeft 
Oliver Wyman een Risk Framework opgesteld dat beschrijft welke onderdelen de 
organisatie ingericht en op orde moet hebben. 


1 

Risk strategy & appetite 

2 

Risk Identification 
& measurement 


3 

Risk control & 
mitigation 

4 

Link between 
risk-reward & 
management 
processes 

Organisation, Governance & Staffing 

0 Tools & IT Systems 

Risk reporting & monitoring 

8 

Risk culture 


Figuur 8.1: Bron: Oliver Wyman rapportage 2014 


Op basis van het advies van Oliver Wyman heeft NS een risk managementplan 
opgesteld. Dit risk managementplan is besproken en goedgekeurd door de 
Auditcommissie. In het risk managementplan is een aantal doelstellingen 
geformuleerd, waarbij als eerste stap de 'risk appetite' per risico moet worden 
vastgesteld. 

Voor de ontwikkeling en invoering van een 'best in class' risk 
managementsysteem is een 2-jarenplan opgesteld. Op 2 juli 2015 is een 'risk 
appetite sessie' gehouden waarbij de risicobereidheid van de ExCo is besproken 
op acht belangrijke aspecten van de bedrijfsvoering, waaronder ethiek en 
compliance. De risk appetite statements zijn verder uitgewerkt en in augustus op 
de agenda van de RvC ter goedkeuring opgenomen. Naar aanleiding van 
bespreking in de vergadering van de Auditcommissie van 11 augustus 2015 is het 
onderwerp van de agenda van de RvC gehaald, omdat het geheel van risk 
appetite en risicotolerantie meer concreet in kaart gebracht moet worden. 


8.7 Analyse en verbeterpunten 


Uit bovenstaande kan worden afgeleid dat na het opgestelde actieplan in 2012 
risk management binnen NS de RvC en de CFO medio 2014 actie hebben 
genomen en een plan hebben opgesteld om risk management 'best in class' te 
maken. Verder is het belang van Integriteit als specifiek thema in 2015 expliciet 
door de top van NS onderkend. 

Op aspecten is het risk management beter ontwikkeld, vooral op het gebied van 
het beheersen van veiligheidsaspecten en operationele aspecten. Zoals blijkt uit 
de risicomatrix van NS was het risico op integriteitsaspecten in 2014 niet expliciet 
benoemd als strategisch risico. Dit is inmiddels wel het geval. 

Op dit moment is het risk managementsysteem binnen NS nog niet op het 
gestelde ambitieniveau 'best in class', noch op het gewenste niveau passend bij 
het risicoprofiel van NS. Een verdere integratie en integrale aansturing is nodig. 


A 
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Verder dienen de concernstaven expliciet en meer zichtbaar door Risk 
Management in het proces van risico-identificatie te worden betrokken. De 
huidige kanteling van de organisatie maakt dit nog urgenter, omdat diverse 
staffuncties uit de bedrijfsonderdelen worden gehaald. Hierdoor bestaat het 
risico dat de riskmanagers van de bedrijfsonderdelen minder zicht hebben op de 
staffuncties. 

Ondanks dat in 2012 een stap is gezet in het ontwikkelen van het risk 
managementplan is de eerste stap in dit risk managementplan, zijnde het 
vaststellen van de risk appetite en risicotolerantie, nog niet afgerond. Sinds 2012 
zijn verschillende acties gepland, maar relatief weinig voortgang geboekt en 
weinig tastbare resultaten zichtbaar. Het is dus belangrijk dat de prioriteitstelling 
verder wordt verhoogd en dat actiever invulling wordt gegeven aan het risk 
managementplan. 

De risk appetite bepaalt mede het niveau aan GRC maatregelen die nodig zijn, om 
binnen de risicotolerantie te blijven. Een lagere risk appetite en tolerantie vergt 
meer inzet van de afdeling Risk management. 

Gezien het profiel van NS (hoofdstuk 3) dient zij te beschikken over een 
volwassen en geïntegreerd risk managementsysteem. Het eind 2014 
geïntroduceerde Risk Framework van Oliver Wyman biedt een goede basis voor 
de vereiste verdere invulling van het risk managementsysteem van NS. 
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9 Ethics & Compliance 


9.1 Verantwoordelijkheid 


De RvB van NS is eindverantwoordelijk voor ethiek en compliance. De RvC houdt 
hier toezicht op. De stafdirecteur NS Legal vervult de taak van hoofd van de 
functie Ethics & Compliance en is tevens de compliance officer van NS. Het hoofd 
van de functie Ethics & Compliance rapporteert hiërarchisch aan de CFO met een 
aanvullende functionele lijn aan de NS-directie. 

De verantwoordelijkheid voor een goede beheersing van compliance risico's ligt 
bij het lijnmanagement en bij de concernstaven. 


9.2 Organisatie 


Eind 2012 is een separate functie Ethics & Compliance opgezet naar aanleiding 
van de noodzaak om NS compliant te maken met de UK Bribery Act en de 
hedendaagse standaarden van 'good governance'. De basis voor ethiek en 
compliance binnen NS is vastgelegd in een Ethics & Compliance Charter van 
januari 2013. Deze definieert compliance als de naleving van (toezicht) wet- en 
regelgeving en interne gedragsregels van NS op het gebied van integere 
bedrijfsvoering. "Alle bedrijfsonderdelen en overige aan NS verbonden 
instellingen waarover NS zeggenschap heeft", zijn in scope van de functie Ethics & 
Compliance. Zoals vermeld in hoofdstuk 7 is de Charter niet (direct) van 
toepassing op Abellio en (andere) buitenlandse dochters en deelnemingen. 

Het onderwerp ethiek en compliance is geen vaststaand onderwerp op de agenda 
van de ExCo, RvC of Auditcommissie. Het thema ethiek en compliance staat één 
maal expliciet op de ExCo agenda, dit bij de start van de functie Ethics & 
Compliance in januari 2013. Overigens zijn in de periode 2013 tot en met 
augustus 2015 in de ExCo circa 10 maal compliance gerelateerde onderwerpen 
behandeld, waaronder de gedragscode, naleving bescherming persoonsgegevens, 
markt & gedrag en vertrouwelijke informatie. 


Elk bedrijfsonderdeel en de concernstaven van de Nederlandse NS-organisatie 
evenals Abellio heeft een compliance officer aangesteld. Deze functie is slechts 
belegd als neventaak van een riskmanager of een jurist. De functie Ethics & 
Compliance bestaat uit acht compliance officers onder leiding van het hoofd 
functie Ethics & Compliance (tevens directeur NS Legal). Zoals hiervoor 
beschreven is de 'compliance officer' slechts een neventaak van de riskmanager 
of van een juridische medewerker. De functie Ethics & Compliance omvat 2,6 fte, 
waaronder zeven compliance officers. 


9.3 Taken en werkwijze 


De belangrijkste taken van de functie Ethics & Compliance volgens haar Charter 
zijn: 

• In samenwerking met het lijnmanagement compliance risico's te 
identificeren, te beoordelen en de beheersing van compliance risico's te 
monitoren 

• De NS-directie en het lijnmanagement bij te staan en te adviseren over de 
wijze om compliance risico's te beheersen 

• De NS-medewerkers te informeren en adviseren over compliance ter 
bevordering van integer gedrag 

leder kwartaal komen alle compliance officers bijeen om voortgang jaarplan en 
'compliance issues & regulatory events' te bespreken. 

In de gedragscode 2015 van de Nederlandse NS-organisatie is opgenomen dat 
issues op het gebied van bedrijfsethiek bij je leidinggevende of bij de compliance 
officer gemeld kunnen worden. 
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In haar jaarplannen benoemt de functie Ethics & Compliance specifieke 
aandachtsgebieden. Bij de start van de functie Ethics & Compliance is besloten 
per kwartaal te rapporteren aan de portefeuillehouder; de CFO van NS. In deze 
kwartaalrapporten wordt de voortgang van de uitvoering van het jaarplan 
beschreven. Daarnaast besteedt het kwartaalrapport aandacht aan potentiële 
compliance issues & regulatory events. In 2014 is besloten de 
kwartaalrapportages in deze vorm te beëindigen. Deze kwartaalrapportages zijn 
vervangen door een jaarlijks verslag van activiteiten en tussentijds melding aan 
CFO van NS van relevante potentiële compliance issues & regulatory events. 

Uit de jaaroverzichten van 2013 en 2014 is te lezen dat de belangrijkste 
doelstellingen voor dat jaar zijn behaald, te weten: 

• Uitrol van het beleid tegen omkoping en corruptie (2013) 

• Verhoging van de bewustwording met behulp van e-learning, live-training 
voor specifieke doelgroepen (risk-based) en doorlopende communicatie via 
diverse media (2013) 

• De functie Ethics & Compliance heeft geadviseerd bij aanpassing van de NS- 
Gedragscode (2013) 

• Bijdrage aan de introductie van de NS-Supplier Gedragscode (2014) 

• Training & bewustwording ter implementatie van het NS-beleid tegen 
omkoping en corruptie (2014) 

• Bijdrage aan de voorbereiding van de uitrol van de nieuwe NS Gedragscode 
(2014) 

• ln-house training van de NS compliance officers (2014) 

Verder bevatten de jaaroverzichten subdoelstellingen, waarvoor de 
verantwoordelijkheid ligt bij bedrijfsonderdelen of bij de functie Ethics & 
Compliance. Deze subdoelstelling zij veelal slechts deels of niet gerealiseerd. 


9.4 Meldingen 


In de gedragscode 2015 is de mogelijkheid opgenomen om issues op het gebied 
van bedrijfsethiek bij de functie Ethics & Compliance te melden. 

Naast deze mogelijkheid bestaan binnen NS diverse procedures en regelingen om 
incidenten en / of ongewenste situaties te melden, te weten: 

• Gedragscode 2015 

• Klokkenluiderregeling 

• Business Control Incidents (BCI meldingen) 

• Fraudebeleid 

• Veilig omgaan met informatie 

• Klachtenregeling 

Daarnaast bestaan mogelijkheden voor het melden van: 

• ongewenst gedrag 

• (een vermoeden van) een overtreding 

• (sociale- en Arbo)veiligheidsincidenten 

• alcohol en drugsgebruik 

• overtreden van privacy regels 

Op basis van de situatie dient de medewerker te bepalen welke regeling geldt. De 
verschillende regelingen schrijven verschillende personen voor om te melden: 

• bij je leidinggevende 

• bij een vertrouwenspersoon 

• bij de compliance officer 

• bij de klachtencommissie 

• bij je riskmanager 

• bij NS Risk 

• in het systeem RailPocket 

• in het systeem Alert / Maximo 
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9.5 Ontwikkeling 


In het kader van een constructieve dialoog met stakeholders beschrijft het 
jaarverslag 18 materiële thema's voor de stakeholders. Integriteit is hierin 
opgenomen als thema met een middelgrote prioriteit voor de stakeholders en 
een hoge impact voor NS. Verder is in het Jaarverslag 2014 een systeem van 
risico-identificatie en -beheersing ingevoerd, waarbij het thema Integriteit niet als 
één van de 12 concernrisico's is opgenomen. Ondertussen is integriteit expliciet 
als risico geïdentificeerd in de rapportages van Risk Management. 

In het 'rapport realisatie jaarplan' van 2013 is beschreven dat de Ethics & 
Compliance functie nog kwetsbaar is. De interne zelf-evaluatie in 2015 van de 
functie Ethics & Compliance stelt tevens dat de functie versterkt moet worden. 
Dit mede door de prioriteitstelling in de lijnorganisatie voor andere taken. In 2014 
beschrijft het 'rapport realisatie jaarplan' dat 'knelpunten in de prioriteitstelling' 
ontstaan, doordat compliance officers hun taken moeten combineren met hun 
reguliere werkzaamheden als jurist of riskmanager. Verder is aangegeven dat de 
Ethics & Compliance functie versterkt moet worden. 

De compliance officers hebben aangegeven dat zij vanwege de prioriteitstelling 
van hun bedrijfsonderdeel vaak onvoldoende toekomen aan ethiek en 
compliance taken. Verder blijkt uit de enquête dat de rol van de compliance 
officer in de organisatie niet helder is. 


9.6 Analyse en verbeterpunten 


Uit bovenstaande blijkt dat de functie Ethics & Compliance in 2013 voortvarend is 
gestart, maar dat deze nog kwetsbaar is. Deze kwetsbaarheid wordt mede 
veroorzaakt door de prioriteitstelling in de lijnorganisatie, waar het belang van 
ethiek en compliance onvoldoende werd onderkend. 

Prioriteitstelling ethiek en compliance 

Ethics & compliance is geen vaststaand onderwerp op de agenda van de ExCo en 
het rapporteren over ethics & compliance is geen integraal onderdeel van de 
planning- en control cyclus. Hierdoor wordt de ExCo niet structureel 
geïnformeerd over ethics en compliance. Het belang van ethics & compliance 
werd onvoldoende onderkend. De prioriteitstelling dient verhoogd te worden en 
de verantwoordelijkheid dient hoger in de organisatie te worden belegd; 'tone at 
the top' is immers cruciaal voor het goed werken van ethics en compliance. 

Ondertussen heeft NS bekend gemaakt een bestuurder aan te stellen met als 
specifieke verantwoordelijkheid GRC. 

Compliance officer 

De functie compliance officer is slechts een neventaak van de riskmanager of de 
juridisch medewerker. De functie Ethics & Compliance omvat in totaal 2,6 fte 
voor de gehele NS-organisatie. Daarnaast zijn compliance activiteiten binnen de 
OpCo's gefragmenteerd belegd bij verschillende afdelingen, zoals HR, Audit, Legal 
et cetera. Voor veel compliance officers is compliance slechts 10% van hun 
takenpakket. Daarnaast geven zij aan dat vanwege de prioriteitstelling van het 
bedrijfsonderdeel nauwelijks toekomen aan hun taak. Momenteel is compliance 
een sub activiteit voor de betreffende medewerkers, waar dit naar onze mening 
een hoofdactiviteit zou moeten zijn. 
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Voor de organisatie is de rol van de Compliance officer onvoldoende helder. 

Gezien het profiel van NS is de capaciteit van de functie Ethics & Compliance op 
dit moment onvoldoende. Verder dient de rol en het belang van de compliance 
officer duidelijker gemaakt te worden in de organisatie. 

Melden incidenten 

Op dit moment bestaan er veel regels en mogelijkheden om misstanden en 
incidenten te melden. Het beleid, de regels als ook waar te melden is 
gefragmenteerd. Hierdoor bestaat het risico dat misstanden / incidenten niet 
worden gemeld, doordat niet duidelijk is waar deze gemeld dienen te worden. 
Tevens maakt elke ontvanger van een melding een eigen afweging voor 
eventuele vervolgacties. Hierdoor bestaat een verhoogd risico op niet consistent 
handhaven en het risico dat geen volledig inzicht bestaat in de gemelde 
incidenten. 

Wij bevelen daarom aan om medewerkers bewust te maken van de verschillende 
mogelijkheden om meldingen te doen. Om meldingen consistent te behandelen 
en de voortgang goed te kunnen volgen, is het nuttig om een digitaal voorportaal 
te creëren voor de diverse meldingen. Hierdoor wordt willekeur in handhaving, 
bijvoorbeeld het al dan niet 'doormelden' voorkomen. 


Beheersing en verantwoording 

De compliance officer van Abellio maakt onderdeel uit van de functie Ethics & 
Compliance van NS. De OpCo's van Abellio hebben eigen beheersmaatregelen op 
het gebied van ethiek en compliance. Wij bevelen aan om een standaard vast te 
stellen waaraan het beleid van de bedrijven, inclusief Abellio en haar 
dochterondernemingen, dient te voldoen op het gebied van ethiek en 
compliance. 

Daarnaast bevelen wij aan om KPI's op te stellen, waarover structureel wordt 
gerapporteerd. Wij bevelen aan het rapporteren door de diverse 
bedrijfsonderdelen integraal onderdeel van de planning- en control cyclus te 
laten zijn. Denk aan de volgende onderwerpen waarover gerapporteerd kan 
worden: 

• Afwijkingen inhuurdesk 

• Afwijkingen aanbesteding 

• Mogelijke privacy-issues 

• Gifts & Hospitality register 

• Screening: welke nieuwe medewerkers wel / niet 
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10 Audit 


Internal audit is in het verleden binnen NS gestart als een afdeling gericht op het 
uitvoeren van financial audits. In 2005 is besloten om financial en operational 
audit strikt te scheiden en verricht de afdeling NS Risk & Audit alleen nog 
operational audits. Sinds 2011 verricht NS Risk & Audit ook audits op Abellio. In 
het concept auditplan voor 2016 is beschreven dat Internal audit zich zowel op 
operationele als op financiële processen zal richten. 


10.1 Verantwoordelijkheid 


Het management is verantwoordelijk voor de besturing van de bedrijfsprocessen 
en de inrichting van de interne controleprocessen binnen hun 
verantwoordelijkheidsgebieden. NS Risk & Audit is verantwoordelijk voor het 
leveren van een bijdrage aan de beoordeling van de mate waarin NS haar 
bedrijfsvoering beheerst. NS Risk & Audit doet aanbevelingen ter verbetering 
hiervan. NS Risk & Audit verschaft hiermee aanvullende zekerheid aan het 
management, de RvB en de Auditcommissie. 

De taakopdracht van NS Risk & Audit is vastgelegd in een Audit Charter. Dit 
Charter was enigszins verouderd, maar is gedurende onze werkzaamheden 
aangepast. Hierdoor is thans de veranderde opzet met risk management als 
onderdeel van de afdeling NS Risk & Audit opgenomen in het Audit Charter van 
de Nederlandse NS-organisatie. Abellio heeft een eigen Audit Charter. Zoals 
hierboven aangegeven verricht NS Risk & Audit sinds 2011 ook audits op Abellio. 
In het Audit Charter van Abellio is vastgelegd dat NS Risk & Audit geen directe rol 
heeft bij de joint ventures met Serco. 

Op onderdelen is sprake van afwijkende bewoordingen in het Audit Charter van 
NS versus de Audit Charter van Abellio. In het Charter van Abellio staat vermeld 
dat NS Risk & Audit wordt ingehuurd door Abellio en dat Abellio het auditplan 


samenstelt. In de NS Charter is opgenomen dat NS Risk & Audit verantwoordelijk 
is voor het opstellen van het audit (jaar)plan. 

Daarnaast is de tekst van het Audit Charter van Abellio niet geactualiseerd; zo 
verwijst onderdeel drie bijvoorbeeld naar de Auditcommissie van Abellio die het 
auditplan dient te autoriseren. Echter, Abellio heeft sinds begin 2013 geen 
Auditcommissie meer. De audits van Abellio zijn nu opgenomen in het auditplan 
2015 van NS dat door ExCo en Auditcommissie is vastgesteld. 

NS Risk & Audit vervult sinds 2011 tevens de auditfunctie voor NS Insurance. DNB 
eist dat NS Insurance voldoet aan de Code Verzekeraars. Deze code vereist onder 
andere dat iedere verzekeraar een eigen interne auditfunctie heeft die 
onafhankelijke audits uitvoert op de governance, het risicobeheer en de 
beheersprocessen. Deze onafhankelijke invulling van de interne auditfunctie 
wordt formeel vastgelegd in een Audit Charter. Dit was voor NS Insurance niet 
aanwezig, maar ondertussen is een Audit Charter voor NS Insurance opgesteld. 
Dit Charter zal tijdens de RvC-vergadering worden behandeld. 


10.2 Organisatie NS Risk & Audit 


De auditfunctie is duidelijk gepositioneerd binnen de gehele organisatie. 
Opdrachtgever van NS Risk & Audit is de RvB. De RvC wordt geïnformeerd via de 
Auditcommissie vergaderingen en heeft inspraakrecht. Indien nodig worden 
vanuit de RvC acties geïnitieerd richting de RvB. NS Risk & Audit is hiërarchisch 
gepositioneerd onder de RvB van NS. Functioneel rapporteert NS Risk & Audit aan 
de RvB. NS Risk & Audit heeft naast de lijn richting CFO, directe 
communicatielijnen naar de CEO van NS en de voorzitter van de Auditcommissie. 
Benoeming of ontslag van de directeur van NS Risk & Audit vindt plaats door de 
bestuurder van de organisatie. 
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In 2014 is binnen NS gesproken over het terugbrengen van aantal internal 
auditors met 50% en hiermee ook het aantal interne audits. Vooralsnog is hier 
geen uitvoering aan gegeven en is de afdeling op dezelfde sterkte gebleven; 14 
FTE, waarvan 2 FTE voor Abellio. Voor Abellio heeft NS Risk & Audit thans een 
jaarbudget van €175.000 (dit was €250.000). Dit budget is exclusief de capaciteit 
binnen Abellio (7 FTE). Voor 2016 is een geïntegreerd auditplan voor Abellio 
afgesproken, waarin deze additionele capaciteit is meegenomen. De vraag is of 
de capaciteit en het budget past bij de omvang van de activiteiten van Abellio en 
het risicoprofiel van Abellio. 


10.3 Taken en werkwijze 


NS Risk & Audit voert operational audits, IT audits, reviewopdrachten en 
adviesopdrachten uit. Alle audits en reviews leiden tot bevindingen met 
aanbevelingen. Deze worden via een systeem van audit issuetracking opgevolgd. 
Flierover wordt de ExCo en de Auditcommissie geïnformeerd. 

Basis voor de werkwijze is het manual NS Risk & Audit. De auditfunctie is sinds 
2009 gecertificeerd door het Instituut van Internal Auditors. In 2014 heeft een 
hercertificering plaatsgevonden. 

NS Risk & Audit werkt vanuit een audit jaarplan, dat tot stand komt op basis van 
een risico assessment, zodat de focus op de kritische processen en projecten ligt. 
Hiervoor haalt NS Risk & Audit input vanuit de bedrijfsonderdelen. De 
stafdirecteur NS Risk & Audit legt het jaarplan ter goedkeuring voor aan de ExCo 
en de Auditcommissie. Met de Auditcommissie vindt een bespreking van het 
auditplan plaats. 

NS Risk & Audit verricht geen review van het integrale control framework bij 
bedrijfsonderdelen. De audits zijn gericht op deelonderwerpen en operationele 
processen, bijvoorbeeld 'Safety', hetgeen onderdelen zijn van het control 
framework. NS Risk & Audit heeft toegelicht dat dit aansluit op de huidige 


taakomschrijving van zijn afdeling: operational audits, met een risico gebaseerde 
aanpak. 


10.4 Rapportages en opvolging 


Tweemaal per jaar presenteert de stafdirecteur NS Risk & Audit het 
halfjaarrapport NS Risk & Audit aan de Auditcommissie. Onderwerpen hierin zijn 
verslag van de activiteiten van NS Risk & Audit, de audits met een onvoldoende 
beoordeling, de opvolging van auditaanbevelingen en alle andere zaken die van 
belang zijn om hen te informeren. 

Indien dat noodzakelijk wordt gevonden, verzoekt de Auditcommissie aan de RvB 
om verdere stappen te nemen. Dit is de laatste maal in augustus 2014 gebeurd 
op het gebied van informatiebeveiliging en cybersecurity in de IT omgeving. 

Vanuit de audit issuetracking toetst NS Risk & Audit periodiek of aanbevelingen 
tijdig worden opgevolgd. Indien noodzakelijk wordt gerappelleerd of een 
vervolgaudit op risicovolle aspecten gepland. 


10.5 Analyse en verbeterpunten 


Op basis van onze analyse blijkt dat NS Risk & Audit duidelijk gepositioneerd is 
binnen de organisatie. De volgende verbeterpunten bevelen wij aan: 

1. Het Audit Charter van Abellio en van de Nederlandse NS-organisatie zijn 
inconsistent, waardoor NS en Abellio verschillend dachten over de rol van 
NS Risk & Audit bij Abellio. 

De Audit Charters van NS en Abellio dienen te worden geactualiseerd en 
op elkaar afgestemd. De Audit Charter NS is ondertussen aangepast en in 
oktober besproken met de CFO, deze aangepaste Charter vormt de basis 
voor het aanpassen van de Audit Charter Abellio. 
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2. NS Insurance heeft geen eigen Audit Charter. DNB eist dat NS Insurance 
voldoet aan de Code Verzekeraars. Deze code vereist een eigen interne 
onafhankelijke auditfunctie. In het Audit Charter wordt deze 
onafhankelijkheid formeel vastgelegd. NS Insurance had geen separate 
Audit Charter. NS heeft dit adviespunt opgepakt en ondertussen een 
separate Audit Charter voor NS Insurance opgesteld. 

3. Gezien het ontbreken van een directe rol van NS Risk & Audit bij joint 
ventures dient het auditplan zodanig te worden ingericht dat jaarlijks de 
minimale beheersingsmaatregelen van de relevante joint ventures in een 
review worden betrokken. Momenteel is dit niet een 
vanzelfsprekendheid. NS Risk & Audit erkent dat het auditplan 2016 
hierop aangepast dient te worden. 


NS Weerbaar naar de toekomst 


In 2014 heeft NS besloten om het aantal auditors met 50% terug te 
brengen en hiermee dus het aantal audits. Gezien de toename van het 
aantal internationale concessies en het herijkte risico profiel is een 
herijking van de benodigde capaciteit gepast. NS Risk & Audit heeft in 
haar l e halfjaarverslag 2015 de wens uitgesproken haar bezetting weer te 
brengen naar het niveau van 2014. Deze uitbreiding van de bezetting is in 
de ExCo van juli 2015 en de Auditcommissie van augustus 2015 
besproken. 

De verhouding tussen de inzet en het budget van NS Risk & Audit op de 
Nederlandse bedrijfsonderdelen en op Abellio lijkt onevenwichtig. Van de 
14 medewerkers zijn twee medewerkers werkzaam voor Abellio. Dit is 
exclusief de 7 audit FTE binnen Abellio. Het verdient aanbeveling 
auditwerkzaamheden op geïdentificeerde key-risks consistent over de 
verschillende bedrijfsonderdelen uit te voeren. 
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11 Integriteitscultuur NS 


11.1 Introductie 


Om niet-integer-gedrag en onregelmatigheden te voorkomen en gewenst gedrag 
te stimuleren is zowel de structuur als de cultuur van de organisatie belangrijk. 
Consistentie in structuur en cultuur werkt versterkend (zie hoofdstuk 3). In de 
hoofdstukken vijf tot en met tien is aandacht besteed aan de Governance, Risk 
Management, Compliance en Audit (structuur). In dit hoofdstuk volgt een 
overzicht van de bevindingen en de aanbevelingen van de cultuur van NS. 

Wij constateerden dat structurele verbeteringen nodig zijn op alle onderdelen 
van GRC. Om risico's adequaat te kunnen beheersen, is ook de cultuur belangrijk. 
De organisatiecultuur wordt vaak aangeduid als het fundament op basis waarvan 
regels, procedures en protocollen worden nageleefd. Cultuur is dus een 
belangrijk onderdeel van de gehele beheersingsomgeving. Een goed evenwicht 
tussen structuur, regels en cultuur is van wezenlijk belang. De cultuur van een 
organisatie is belangrijk voor een effectieve beheersing, omdat zij mede het 
integriteitsbewustzijn versterkt. 

Zoals beschreven in hoofdstuk 3 is NS actief in verschillende landen in Europa met 
verschillende activiteiten. De Nederlandse organisatie is verdeeld in verschillende 
bedrijfsonderdelen, met elk een andere achtergrond. De OpCo's die de 
buitenlandse concessies uitvoeren zijn feitelijk telkens zelfstandige bedrijven. Van 
een uniforme cultuur kan dan ook geen sprake zijn. Sterker nog, ongewenst 
gedrag kan soms per land verschillen. 

Het meten van een effectieve werking van regels, codes en procedures is 
belangrijk. Is er sprake van een goede 'tone at the top'? Weten medewerkers wat 
wanneer geregistreerd moet worden in het 'gifts & hospitality register'? Werkt de 
gedragscode? 


Om dit goed te kunnen meten, hebben wij medewerkers van elk niveau uit 
verschillende bedrijfsonderdelen, staven, landen en activiteiten betrokken in de 
analyse. Hun beeld van de gang van zaken binnen de organisatie is bepalend voor 
de cultuur. 

Wij hebben hiertoe: 

• Ruim 160 gesprekken met medewerkers van NS gevoerd 

• Een vragenlijst verstrekt aan circa 4.100 medewerkers en ongeveer 1.350 
vragenlijst retour ontvangen (specifiek gericht op cultuur aspecten) 

In de vragenlijst zijn aan medewerkers vragen gesteld op een achttal thema's, te 
weten: helderheid, voorbeeldgedrag, betrokkenheid, uitvoerbaarheid, 

transparantie, bespreekbaarheid, comfort om te melden en handhaving. 

Dit betreffen algemeen aanvaarde thema's om cultuur binnen een organisatie te 
duiden. Hierdoor ontstaat inzicht in de werking van regelgeving en van 
beheersingsmaatregelen. 

Door het beoordelen en meten van deze voornoemde thema's wordt het gedrag 
en de communicatie van de medewerkers in de organisatie zichtbaar en ontstaat 
inzicht in de bedrijfscultuur. 
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11.2 De kern 


Algemeen 

Op basis van de ruim 160 gesprekken en ongeveer 1.350 respondenten kunnen 
twee heldere conclusies worden getrokken: 

• Verschillende aandachtspunten en verbeterpunten zijn geïdentificeerd om de 
cultuur te versterken, zoals: het verbeteren voorbeeldgedrag en aanspreken 
op afwijkend gedrag. 

• Uit de enquête blijkt in algemene zin dat medewerkers betrokken zijn en veel 
vertrouwen hebben in hun collegae. Er is sprake van een open werkcultuur, 
waarin medewerkers elkaar kunnen aanspreken op ongewenst gedrag. De 
meerderheid van de medewerkers heeft aangegeven de leidinggevende te 
kunnen benaderen met vragen over integriteit. 

Overzicht bevindingen 

Niet één cultuur 

Op integriteitsgebied is sprake van verschillende culturen in de verschillende 
bedrijfsonderdelen en landen. Er lopen verschillende initiatieven om meer 
eenheid tussen de bedrijfsonderdelen te realiseren. Deze initiatieven worden 
echter niet door de gehele organisatie in gelijke mate ondersteund. Zo hebben 
diverse bedrijfsonderdelen hun eigen gedragscode, een meer op hun specifieke 
situatie toegespitste gedragscode. Bij het realiseren van een meer gezamenlijk 
gedeelde integriteitscultuur, is het van belang dat binnen NS de noodzaak van 
betere interne samenwerking een breed draagvlak krijgt. Het verdient 
aanbeveling om deze gezamenlijke integriteitscultuur in de gehele organisatie te 
blijven stimuleren. Zo bestaat op dit moment geen 'Code of Ethics'. De basis voor 
het handelen van medewerkers wordt gevormd door de waarden en de drie E's: 
Eenheid, Eenvoud en Eigenaarschap. 


Binnen Qbuzz valt het op dat veel minder een cultuur bestaat waar men zich vrij 
voelt om elkaar aan te spreken op niet integer of onaanvaardbaar gedrag. Bij 
Qbuzz voelen 162 van de 202 in de enquête betrokken medewerkers zich niet vrij 
elkaar hierop aan te spreken. Bij ScotRail valt juist op dat men minder bij de 
leidinggevende terecht kan met integriteitsissues; 69 van de 132 in de enquête 
betrokken medewerkers geeft aan de leidinggevende niet te kunnen benaderen 
met vragen over integriteit. 

Binnen Abellio geldt dat elke concessie in wezen een eigen - zelfstandig - bedrijf 
is. In elk bedrijf verschillen de vereisten, de regionale omstandigheden en 
bedrijfsmatige mogelijkheden per concessie. Als gevolg daarvan kent ieder 
concessiegebied een eigen cultuur. Iedere concessie voldoet op deze wijze aan 
haar eigen verplichtingen vanuit regelgeving, de concessievoorwaarden en de 
gedragsregels die worden uitgedragen vanuit 'the Abellio Way'. Hoewel Abellio 
binnen elke individuele concessie aandacht heeft voor het voorkomen van niet- 
integer-gedrag, is geen sprake van een formeel bepaalde standaard op integriteit. 
Vanuit het oogpunt van beheersing en verantwoording verdient het aanbeveling 
om ten aanzien van integriteitsaspecten expliciet een standaard op te nemen, 
zodat op dit gebied een gedeelde cultuur kan groeien. 

Veelheid aan regels 

Uit de analyse blijkt dat er een grote veelheid aan regels is, maar veel regels zijn 
onbekend bij medewerkers. Tevens hebben wij geconstateerd dat verouderde 
regels ook nog vindbaar blijven, terwijl nieuwe versies beschikbaar zijn, die de 
oude vervangen. 

Uit de analyse blijkt duidelijk dat veel regels bij medewerkers onbekend zijn. 
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In zowel binnen- als buitenland zijn medewerkers slechts beperkt bekend met 
relevante regels om integriteitsrisico's te beheersen. In Nederland is de 
Gedragscode bekend bij 56% van de in de enquête betrokken medewerkers, 
buiten Nederland is dit percentage 51%. De bekendheid van overige regels is veel 
beperkter. In Nederland is 16% van de in de enquête betrokken medewerkers 
bekend met de klokkenluiderregeling, 10% met Beleid Omkoping en Corruptie, 
12% met privacybeleid en 12% met het gifts & hospitality register. In het 
buitenland is de bekendheid met deze regels respectievelijk 37%, 38%, 36% en 
32%. 

Binnen de organisatie valt het op dat er een enorme veelheid en diversiteit aan 
regels bestaat (hard Controls). Voor medewerkers is het een uitdaging om alle 
regels te kennen en adequaat toe te passen. Maar ook als regels wel bij 
medewerkers bekend zijn, is het niet vanzelfsprekend dat men weet wat men 
(niet) moet doen. Een sprekend voorbeeld is het gifts & hospitality register. 
Ondanks een organisatie breed bewustwordingsprogramma, wordt het 
registreren van giften niet consistent toegepast. 

Medewerkers tasten in het duister 

Ondanks de veelheid aan regels, richtlijnen, protocollen et cetera, blijkt uit 
interviews dat het voor medewerkers niet duidelijk is wat wel en niet mag. 
Binnen de organisatie bestaan veel rollen met een gedeelde 
verantwoordelijkheid, waardoor verantwoordelijkheid nemen vaak als lastig 
wordt ervaren. Deze aspecten hebben een grote invloed op het voorbeeldgedrag. 
Medewerkers geven aan dat het aan hen wordt gelaten of ze samen of langs 
elkaar werken. 

Het mag dan ook geen verbazing zijn dat het voor medewerkers onduidelijk is wat 
de organisatie als onaanvaardbaar aanmerkt, tevens is voor 7% van de in de 
enquête betrokken medewerkers niet duidelijk wat 'integer gedrag' is. 

Door medewerkers wordt in interviews dan ook gesproken over 'mogen en 
moeten' regels. Hiermee wordt bedoeld dat medewerkers een grote autonomie 


ervaren in hun handelen en soms een eigen afweging maken wat het best is in 
bepaalde situaties. Sommige regels moeten worden nageleefd, bijvoorbeeld op 
het gebied van veiligheid, maar van andere regels mag in bepaalde situaties 
worden afgeweken. Duidelijk is dat medewerkers dit naar eigen 'eer en geweten' 
doen. 

Meer zorgwekkend is dat in Nederland en het Verenigd Koninkrijk relatief veel 
(264 van de 1.112, respectievelijk 24 en 23%) in de enquête betrokken 
medewerkers vinden dat "hoe hoger de functie hoe minder men zich aan 
(gedrags)regels houdt". Verder valt op dat ten aanzien van handhaving sprake is 
van willekeur, 30% stelt dat: "dezelfde overtredingen worden niet op dezelfde 
wijze bestraft". Wij merken hierbij op dat onderzoeken uitgevoerd door Concern 
Veiligheid worden gerapporteerd aan de directie van de bedrijfsonderdelen. De 
verantwoordelijkheid voor eventuele 'vervolgacties' ligt bij deze directies. 

Balans hard- en soft Controls 

In de organisatie wordt van hoog tot laag gesproken over 'mogen en moeten' 
regels. Dit houdt in dat helder moet worden gemaakt van welke regels absoluut 
niet afgeweken mag worden (zero tolerance). Op deze regels dient strak 
gehandhaafd te worden, via een controlerende benadering. Denk hierbij aan het 
bewust misbruiken van vertrouwelijke informatie, fraude, maar natuurlijk ook het 
alcohol-en drugbeleid. Daarnaast spreken medewerkers over vakmanschap; met 
vakmanschap wordt bedoeld dat men zelf een afweging moet kunnen maken hoe 
te handelen. Hierbij is het belangrijk dat wordt gediscussieerd over hoe in 
specifieke situaties gehandeld wordt. Hierbij verdient een stimulerende 
benadering de voorkeur. De balans tussen regels en vertrouwen staat hierin 
centraal 5 . 


Muel Kaptein schreef hierover "Trust Rules, negen uitgangspunten voor een betere balans tussen regels en 
vertrouwen." 
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Aanbevelingen 

Eén cultuur 

Wij bevelen aan om specifiek aandacht te geven aan het verder uniformeren van 
één cultuur en een consistente boodschap uit te dragen. Denk hierbij aan: 

• Uniformiteit in kernwaarden 

• Een specifieke 'Code of Ethics' 

• Eén heldere Gedragscode of bepaal welke aspecten: 

o in elke gedragscode opgenomen dienen te worden 
o desgewenst toegespitst mogen worden op lokale situaties 
o facultatief zijn 

• Stel een duidelijke standaard ten aanzien van integriteitsaspecten 

o bij dochterondernemingen op afstand dient de standaard in de 
businessplannen verankerd te worden 

Controleren of Stimuleren 

Wij bevelen aan de balans tussen hard- en soft Controls aan te scherpen. Denk 
hierbij aan de volgende stappen: 

1. Inventariseer de regels / procedures / protocollen et cetera 

2. Bepaal welke overbodig of verouderd zijn 

3. Categoriseer op thema 

4. Bepaal categorieën, bijvoorbeeld: 

o regels die zich kenmerken als zijnde 'zero tolerance'; veelal regels die 
bepaald gedrag verbieden 

o regels die gedrag / handelen voorschrijven; veelal procedures, 
protocollen 

o regels die richtinggevend bedoeld zijn (richtlijnen, guiding 
documenten) 

5. Bepaal bij welke categorieën van regels een 'controlerende' of ' 
stimulerende' benadering past (of een combinatie) 


6. Zorg ervoor dat Ethics & Compliance en Audit hier hun werkzaamheden op 
toespitsen 

Deze aanbeveling zorgt er eveneens voor dat de veelheid van regels beperkt kan 
worden. 

Helderheid 

De helderheid van regels dient sterk verbeterd te worden. Wij bevelen aan om 
hierin duidelijkheid te scheppen in regels voor medewerkers. Hiertoe dient meer 
aandacht besteed te worden aan training en het stimuleren van goed 
voorbeeldgedrag. Hierdoor kan een gezonder evenwicht ontstaan tussen hard- en 
soft Controls. Dit evenwicht is op dit moment scheefgegroeid. Teveel regels die 
soms verouderd of overbodig zijn en te weinig aandacht voor uitleg en training 
over hoe in situaties te handelen op basis van deze regels. 

Overig 

Verder bevelen wij aan dat expliciet aandacht wordt besteed aan: 

• Het verder verbeteren van 'tone at the top' 

• Het wegnemen van (het beeld van) voorkeursbehandeling (specifiek bij 
ScotRai I) 

• Het stimuleren van voorbeeldgedrag / Lead by Example 

• Het aanspreken op afwijkend gedrag 

Deze verbeterpunten kunnen via een cultuurprogramma worden verbonden tot 
een omvattend verbetertraject. Het totale programma zal enkele jaren omvatten, 
omdat het veranderen van cultuur en het creëren van een omgeving waarin men 
zich veilig voelt om medewerkers en leidinggevende aan te spreken tijd kost. 

Deze gewenste structurele verbeteringen zijn deels al in gang gezet. Vanuit de 
achtergrond van deze opdracht bezien, is een hoge prioriteit bij het daadwerkelijk 
implementeren van deze structurele verbeteringen noodzakelijk. 



Pagina 45 


2B°> 



8 januari 2016 


NS Weerbaar naar de toekomst 


11.3 Beeld bedrijfscultuur NS uit vragenlijst en plenaire sessies Vergelijk landen 


Algemeen 

Wij hebben medewerkers vragen gesteld gericht op een achttal onderwerpen, 
zijnde: 

• Helderheid 

• Voorbeeldgedrag 

• Betrokkenheid 

• Uitvoerbaarheid 

• Bespreekbaarheid 

• Transparantie 

• Comfort om te melden 

• Handhaving 

Deze onderwerpen zijn algemeen aanvaard om cultuur binnen een organisatie te 
duiden. Waar in dit hoofdstuk 'medewerkers' staat, wordt gedoeld op de 
respondenten van de vragenlijst. 


Over het algemeen kan gesteld worden dat op alle onderwerpen waarop getoetst 
is medewerkers in Duitsland en Scandinavië een meer positief beeld laten zien 
dan medewerkers in Nederland en het Verenigd Koninkrijk. Hierbij moet worden 
opgemerkt dat de concessies in Duitsland significant kleiner zijn en Scandinavië 
vooralsnog nog niet operationeel is en derhalve geen uitvoerende medewerkers 
heeft. 


Helderheid 

5 -| 



Transparantie 


Nederland Duitsland United Kingdom Scandinavia 


Figuur 11.1: Spider vergelijk landen 
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Vergelijk bedrijfsonderdelen Nederland 

Binnen de bedrijfsonderdelen van de NS-organisatie in Nederland is geen sprake 
van één bedrijfscultuur. Binnen de bedrijfsonderdelen worden verschillende 
reglementen, procedures en regels gehanteerd. Het uitdragen van de 
gemeenschappelijke kernwaarden komt hiermee in het geding. 

Onderstaand geven wij in de spider een vergelijk tussen de NS-onderdelen die 
actief zijn in Nederland. 


Helderheid 
5 i 



Comfort om te melden 


Betrokkenheid 


Bespreekbaarheid 


Voorbeeldgedrag 


Handhaving 


Transparantie 


NS Reizigers NedTrain NS Groep NS Stations Abellio Qbuzz 

Figuur 11.2: NS bedrijfsonderdelen Nederland 


Bij de individuele vragen zijn de antwoorden van de betrokken Qbuzz 
medewerkers over het algemeen minder positief dan de overige 
bedrijfsonderdelen van NS. Dit geldt over de gehele linie van vragen en thema's. 


Daarnaast laat de directie over het algemeen een licht positiever beeld zien met 
betrekking tot de getoetste onderwerpen dan de manager. De manager oordeelt 
weer licht positiever dan de medewerker. Wij merken op dat bij Qbuzz de huidige 
directie op alle onderwerpen - behalve betrokkenheid - lager scoort dan 
managers en medewerkers. 

Vergelijk bedrijfsonderdelen Verenigd Koninkrijk 

Net als bij de bedrijfsonderdelen van NS in Nederland is er bij de OpCo's in het 
Verenigd Koninkrijk geen sprake van één bedrijfscultuur. De OpCo's bestaan uit 
verschillende concessies die door Abellio gewonnen zijn. Met het overnemen van 
de concessie wordt in feite een hele organisatie overgenomen inclusief 
personeel. 

Over het algemeen hebben de medewerkers een positief beeld over de 
organisatie. De medewerkers van ScotRail beoordelen alle vragen relatief minder 
positief dan de medewerkers van de andere OpCo's. 



Transparantie 


■ 'Merseyrail — Northern Rail Scotrail —— Abellio Greater Anglia ■ 1 Abellio London Surrey Bus 

Figuur 11.3: NS bedrijfsonderdelen Verenigd Koninkrijk 
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Voorbeelden per cultuuraspect 

Helderheid 

Helderheid geeft aan in hoeverre het voor de medewerker duidelijk is wat er van 
hem/haar wordt verwacht. Hoe duidelijker dit door de organisatie wordt 
gecommuniceerd, hoe meer de medewerker doet wat er van hem/haar verwacht 
wordt. 

Vrijwel alle medewerkers in Duitsland en Scandinavië hebben aangegeven dat 
duidelijk wordt gecommuniceerd wat integer en niet-integer-gedrag is. 

In Nederland en het Verenigd Koninkrijk is de score op helderheid in 
communicatie over integer en niet-integer-gedrag duidelijk lager (45 tot 46%). 
Binnen NS geven medewerkers op alle niveaus aan dat sprake is van 'moeten en 
mogen' regels. Het is voor medewerkers onduidelijk wat moet en mag. 
Medewerkers noemen in dit kader regelmatig dat 'vakmanschap' bepalend is in 
wat moet en mag. 

Binnen de organisatie zijn vertrouwenspersonen en compliance officers 
aangesteld. In Nederland weet 18% wie haar compliance officer is en 34% wie 
haar vertrouwenspersoon is. In het buitenland is dit respectievelijk 33% en 28%. 

Een overgroot deel van de medewerkers in Nederland (66%), het Verenigd 
Koninkrijk (75%) en de meerderheid in Scandinavië (57%) geeft aan niet te weten 
wie de vertrouwenspersoon is. Alleen in Duitsland geeft een overgrote 
meerderheid van de medewerkers aan wel te weten wie de vertrouwenspersoon 
is. De meerderheid van de medewerkers in Nederland (82%), het Verenigd 
Koninkrijk (68%) en Duitsland (67%) geeft aan niet te weten wie de compliance 
officer is. In Scandinavië geeft de meerderheid van de medewerkers juist wel aan 
te weten wie dit is. Medewerkers merken overigens op dat zij - indien nodig - 
wel weten hoe zij erachter moeten komen wie de vertrouwenspersoon of 
compliance officer is. 


Voorbeeldgedrag 

Voorbeeldgedrag geeft aan in hoeverre de medewerker het voorbeeld van het 
management volgt. Goed voorbeeld van het management doet goed volgen. 

Zoals tevens bij aspect 'helderheid' is aangegeven, is het voor medewerkers 
binnen NS onduidelijk wat moet en wat mag. Dit maakt het moeilijk een 
voorbeeldfunctie te vervullen. 'Verantwoordelijkheid nemen' ontbreekt vaak. In 
de huidige organisatiestructuur zijn veel rollen met gedeelde 
verantwoordelijkheden. 

Opvallend is dat de meerderheid van de medewerkers in het Verenigd Koninkrijk 
(62%), Duitsland (85%) en Scandinavië (100%) aangeeft dat de leidinggevende 
regels en gedragswaarden met de medewerker bespreekt. In Nederland geeft 
42% dit aan. Daarnaast geeft ongeveer een kwart van de medewerkers in 
Nederland (24%) en het Verenigd Koninkrijk (23%) aan dat zij het eens te zijn met 
de stelling: 'Hoe hoger de functie van mensen in mijn organisatie, hoe minder zij 
zich aan de regels houden'. 

Verder hebben enkele respondenten binnen ScotRail opgemerkt dat zij een vorm 
van voorkeursbehandeling ervaren binnen hun onderdeel of afdeling. 

Betrokkenheid 

Betrokkenheid geeft aan in hoeverre medewerkers zich betrokken voelen bij de 
organisatie. Medewerkers die betrokken worden bij de organisatie, zullen zich 
meer inzetten voor de belangen van de organisatie. 

De medewerkers in Scandinavië en Duitsland hebben over het algemeen iets 
positiever gestemd dan de medewerkers in Nederland en het Verenigd 
Koninkrijk. Opgemerkt moet worden, dat dit niet betekent dat zij zich meer 
betrokken voelen bij NS, maar wel bij de organisatie waartoe zij behoren. 


A 
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Medewerkers werkzaam bij ScotRail voelen zich geen 'NS'er' of 'Abellio'er' maar 
een 'ScotRail'er'. 

Uitvoerbaarheid 

Uitvoerbaarheid geeft aan dat naarmate medewerkers meer middelen en tijd 
krijgen om hun taken uit te voeren, zij beter in staat zijn om te doen wat er van 
hen verwacht wordt. 

In Nederland en het Verenigd Koninkrijk geven medewerkers aan dat de 
werkdruk in de afgelopen twee jaar aanzienlijk is toegenomen. 

In Nederland geven 304 van de 646 medewerkers (47%) aan dat een eigen 
interpretatie van regels soms nodig is. Zie hiertoe ook de opmerkingen over 
'moeten en mogen' regels en vakmanschap bij aspect 'helderheid'. Het wordt aan 
de medewerkers overgelaten of ze elkaar opzoeken of langs elkaar heen werken. 

Het is voor de medewerker niet altijd even duidelijk welke regels en procedures 
gevolgd dienen te worden. Wij constateerden dat de organisatie een organisatie 
breed programma omtrent 'Gifts & Hospitality' heeft uitgerold. Toch blijkt dat 
medewerkers de registratie in het 'Gifts & Hospitality' register niet consistent en 
eenduidig toepassen. Hierdoor bestaat het risico dat geschenken en/of 
activiteiten onterecht niet in het register worden vermeld. 

Binnen de OpCo's geeft een meerderheid van de medewerkers aan over 
voldoende middelen te beschikken om zijn/haar taken uit te voeren. Uitzondering 
hierop is ScotRail. De meerderheid van de medewerkers heeft aangegeven niet 
over voldoende middelen te beschikken. 


Bespreekbaarheid 

Met bespreekbaarheid wordt bedoeld dat naarmate medewerkers binnen de 
organisatie meer ruimte krijgen om morele zaken te bespreken, zij dit ook zullen 
doen en kunnen zij daarvan leren. 

Wij merken op dat uit de enquête naar voren komt dat binnen de 
bedrijfsonderdelen een cultuur heerst waar medewerkers elkaar kunnen 
aanspreken op ongewenst gedrag; 76% geeft aan elkaar hierop te kunnen 
aanspreken . Er is sprake van een open werkcultuur. Echter zijn er ook een aantal 
die het tegenovergestelde ervaren. Iemand benoemd dat na de Fyra meer angst 
is opgekomen, ook wordt de term 'angstcultuur' een enkele keer genoemd. Uit 
door ons gevoerde gesprekken komt ook naar voren dat sommige medewerkers 
het als moeilijk ervaren om een collega aan te spreken op onaanvaardbaar 
gedrag. 

Qbuzz scoort lager op vragen rondom het aspect 'bespreekbaarheid' dan 
medewerkers van andere bedrijfsonderdelen in Nederland. De 
onregelmatigheden en de speculatie over een eventuele verkoop van Qbuzz 
speelt hier mogelijk een rol. Wij begrepen van medewerkers dat deze 
gebeurtenissen bepalend zijn voor het negatieve gevoel dat zij hebben. Zij voelen 
zich geen onderdeel van de NS-organisatie. 

Opvallend is dat bij Qbuzz relatief veel medewerkers zich niet vrij voelen om 
andere medewerkers aan te spreken op niet-integer-gedrag; 162 van de 202 
medewerkers voelt zich niet vrij elkaar hierop aan te spreken. 
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Transparantie 

Met transparantie wordt bedoeld dat naarmate medewerkers beter zicht hebben 
op andermans en eigen gedrag en de effecten daarvan, zij hier in eigen gedrag 
meer rekening mee houden en hun eigen gedrag beter kunnen (bij) sturen en 
doen wat anderen verwachten. 

Binnen de verschillende OpCo's wordt er wisselend gedacht over de 
transparantie van het besluitvormingsproces in de organisatie. Binnen ScotRail 
ervaren medewerkers dat het management weinig communiceert. Voor sommige 
medewerkers van ScotRail is het onduidelijk wie tot het management behoort. 
Medewerkers van ScotRail hebben het idee dat persoonlijke voorkeur een grote 
rol speelt bij promoties en het aannemen van medewerkers en dat dit dus niet 
gebeurt op basis van iemands kwaliteiten. 

Comfort om te melden 

Comfort om te melden betekent dat de medewerker het vertrouwen heeft dat er 
zorgvuldig wordt omgegaan met een melding. De meerderheid van de 
medewerkers van de OpCo's heeft aangegeven de leidinggevende te kunnen 
benaderen met vragen over integriteit. Uitzondering hierop zijn de medewerkers 
van ScotRail. Een meerderheid van de medewerkers (69 van de 132) geeft juist 
aan de leidinggevende hier niet over te kunnen benaderen. Hierbij zijn de 


opmerkingen over aanname en promotie als ook over de beperkte communicatie 
over integriteit relevant. 

Over het algemeen voelen medewerkers van Abellio UK zich vrij om gedrag in 
strijd met de regels te melden. Uitzondering hierop zijn de medewerkers van 
ScotRail. Meer dan de helft van deze medewerkers is het hier niet mee eens. 

Het management van de OpCo's wordt in enkele gevallen door medewerkers als 
incompetent beoordeeld. Zij zijn niet in staat een veilige werkomgeving voor het 
personeel te creëren. 

Handhaving 

Onder handhaving verstaan wij dat naarmate de handhaving beter is, 
medewerkers meer doen wat wordt beloond en minder wat wordt bestraft. 

Vanuit verschillende OpCo's wordt aangegeven dat men het gevoel heeft dat 
vergelijkbare overtredingen niet op dezelfde manier worden bestraft. 

Bij ScotRail wordt dit zelfs bevestigd door meer dan de helft van de medewerkers. 
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DEELE 

Specifieke thema's 
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12 Biedingsproces 


12.1 Achtergrond biedingsproces 


De biedingen van NS op vervoersconcessies worden veelal verzorgd door Abellio 
Transport Holding BV en de aan haar gelieerde dochterondernemingen. Abellio is 
actief in vier regio's: het Verenigd Koninkrijk, Duitsland, Scandinavië en 
Nederland. Het zwaartepunt van de concessieportfolio ligt momenteel in het 
Verenigd Koninkrijk. 

Binnen de regio's is onderscheid te maken tussen het type vervoersconcessies 
waarop wordt geboden. In het Verenigd Koninkrijk richt Abellio zich op trein- en 
busconcessies. In Duitsland wordt momenteel uitsluitend deelgenomen aan 
aanbestedingen van treinconcessies. In Scandinavië neemt Abellio deel aan 
aanbestedingen op zowel trein- als metroconcessies. Abellio verwacht dat in de 
toekomst ook op busconcessies zal worden geboden in Scandinavië. In Nederland 
neemt de Abellio-dochter Qbuzz deel aan de aanbesteding van 
vervoersconcessies. Deze concessies zijn voor gecombineerd vervoer van trein, 
bus en overig openbaar vervoer. Qbuzz is in 2013 bij Abellio ondergebracht, 
daarvoor maakte Qbuzz - sinds 2008 - als onderdeel uit van de Nederlandse NS 
organisatie. 

Indien een aanbesteding is gewonnen, start de mobilisatiefase waarbij de 
organisatie ofwel wordt opgezet (Duitsland) of wordt overgenomen (het Verenigd 
Koninkrijk en Nederland). Na de mobilisatie fase gaat de organisatie over in de 
uitvoering van de concessie waarbij de concessieverplichtingen en de 
communicatie naar de concessiegever over deze punten centraal staat. 

Governance biedingsproces 

Abellio heeft de afgelopen jaren veel aandacht besteed aan het verbeteren van 
het biedingsproces. In dit kader is er een 'projects governance process' 
ontwikkeld. 


Dit proces is van toepassing op: 

• Abellio UK 

• Abellio Duitsland 

• Abellio Scandinavië 

Het 'projects governance process' bestaat uit zes fases: 

1. Opportunity Evaluation 

2. Planning & Pre-Qualification 

3. Preparation 

4. Bid 

5. Bid submission & Evaluation 

6. Mobilisation transition 

In het proces zijn de rollen en verantwoordelijkheden van de belanghebbende 
onderdelen duidelijk weergegeven. Er zijn drie belangrijke besluitmomenten (ook 
wel Gateways). 

Gateway 1 

Nadat fase 1 is afgerond dient het 'Project Mandaat' opgesteld te worden 
alvorens over gegaan kan worden naar fase 2. Indien het Project Mandaat niet 
consistent is met de strategie en het budget uit het businessplan dient de RvB van 
NS het Project Mandaat te beoordelen en goed te keuren. 
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Gateway 2 

Het tweede beslismoment is voor het opstellen van het bod. Bij Gateway 2 dient 
het Project Initiatie Document (PID) door zowel de Abellio Executive board als 
door de RvB van NS goedgekeurd te worden. Zonder deze goedkeuring mag niet 
worden deelgenomen aan een bieding. 

Gateway 3 

Hier wordt besloten het bod al dan niet in te dienen en onder welke 
voorwaarden. Het doorslaggevende document is het 'Investeringsvoorstel'. Het 
doel van het Investeringsvoorstel is om formeel toestemming te verkrijgen om 
een bindend bod op een concessie in te dienen. Het Investeringsvoorstel dient 
door zowel de NS-directies als de RvC van NS goedgekeurd te worden voordat 
een bindend bod mag worden uitgebracht. In enkele gevallen dient tevens 
toestemming van de aandeelhouder van NS verkregen te worden. 



Het beschreven proces sluit in haar stappen aan bij het aandeelhoudersbesluit 
Abellio, zoals tussen NS en ATH is overeengekomen. In dit aandeelhoudersbesluit 
Abellio is bepaald dat bij het opstellen van een bieding, goedkeuring moet 
worden verkregen van aandeelhouder NS. In het proces is hierin voorzien bij 
Gateway 2. Ook sluit de getrapte besluitvorming bij Gateway 3 aan bij de 
systematiek van het Investeringsmanual. In het Investeringsmanual is bepaald dat 
bij biedingen op concessies in landen waarin NS actief is, bij een 
investeringswaarde vanaf €5 miljoen, goedkeuring nodig is van de ExCo. Bij 
biedingen met een investeringswaarde van meer dan €25 miljoen is tevens 
goedkeuring van de RvC vereist. In de concept-statuten van NS is voorzien dat de 
goedkeuring van de aandeelhouder wordt vereist bij biedingen op concessies met 
een investeringswaarde van meer dan €100 miljoen. 

In de akte van oprichting van Qbuzz BV van 9 april 2008 is bepaald dat 
goedkeuring van haar aandeelhouder (Abellio) is vereist voor besluiten van de 
directie van Qbuzz bij het uitbrengen van een bod op vervoersconcessies. De 
besluiten van de directie van Abellio zijn vervolgens weer in bovengenoemde 
situaties aan goedkeuring van NS gebonden. Het Investeringsmanual van NS is 
van overeenkomstige toepassing op Qbuzz inclusief de daarin opgenomen 
investeringsgrenzen en goedkeuringsprocedures. Zoals aangegeven is het 'Project 
governance process' van toepassing voor Abellio UK, Abellio Duitsland en Abellio 
Scandinavië. Biedingen van Qbuzz maken geen onderdeel uit van het 'Project 
governance process'. Binnen Qbuzz bestaan geen andere procedures, protocollen 
of aanwijzingen ten aanzien van het biedingsproces. Qbuzz heeft een 
aandeelhoudersrelatie met ATH en ATH heeft geen standaard vastgesteld. 


Figuur 12.1: 'Projects governance process' overview UK. 
Bron: Bid Governance Presentation 17 Feb 2013 vl-2 
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12.2 Positieve ontwikkelingen 


Er is de afgelopen twee jaar binnen Abellio veel energie gestoken in het 
professionaliseren van het biedingsproces. Dit resulteert in een 'Projects 
governance process' waarin: 

• Duidelijke rollen en verantwoordelijkheden zijn gedefinieerd van bid director, 
Corporate Finance Director, CPC, tot de RvC van NS 

• Beoordelingsmethode van het bod waarbij een bod drie maal tussentijds 
beoordeeld wordt door achtereenvolgens het bid team, de steering group, 
executive board Abellio en de RvB van NS 

• Gebruik gemaakt wordt van 'Green hat en Black hat sessies'. Dit is ontleend 
aan een geëigende methode van Edward de Bono om denkrollen of 
denkrichtingen te gebruiken en voorstellen van het bod te toetsen met 
kennishouders uit de eigen organisatie. Bij de Green hat sessies wordt er 
creatief naar de mogelijkheden voor exploitatie van de concessie gekeken. Bij 
de Black hat sessies wordt de haalbaarheid bediscussieerd. 

De dataroom van het biedingsteam in het Verenigd Koninkrijk kent een logboek 
waarbij alle datawijzigingen worden vastgelegd, tevens kunnen medewerkers 
geen data verwijderen. Binnen de dataroom wordt gebruik gemaakt van 
toegangsrechten waarbij medewerkers van het bid team alleen toegang hebben 
tot de voor hen benodigde data. 


12.3 Analyse en verbeterpunten 


Chinese Walls 

Voorlichting over procedures omtrent datawisseling en 'Chinese Walls' tussen 
biedingsproces en de operatie vindt onvoldoende plaats. Hierdoor ontstaat het 
risico op onrechtmatige datadeling tussen biedingsteam en operatie. Vooral bij 
biedingen op concessies die al in bezit zijn van de organisatie is het van belang 
medewerkers mee te nemen en te wijzen op Chinese Walls. 


Wij adviseren om aanvullende procedures op te stellen die Chinese Walls 
waarborgen. Van belang is dat medewerkers geïnformeerd worden over het 
bestaan en het belang van deze procedures. Bij elk nieuw bod zouden 
medewerkers actief herinnerd moeten worden over de in acht te nemen Chinese 
Walls. 

Actualiseren governance procedure 

Wijzigingen ten aanzien van de in 2013 vastgestelde 'Projects governance 
process' zijn niet bijgewerkt in de documentatie. Deze procedure is derhalve niet 
meer actueel. Hierdoor bestaat het risico dat het gewenste beleid niet gevolgd 
wordt. 

Het verdient de aanbeveling om jaarlijks de documentatie te actualiseren. Hierbij 
is het van belang dat alle onderdelen tijdig over de identieke informatie 
beschikken zodat uniforme procedures worden gehanteerd. 

Inhuur medewerkers 

In een biedingsproces is het van belang dat er niet over onrechtmatige data of 
voorkennis wordt beschikt. Momenteel vindt geen systematische risicoscan 
plaats ten aanzien van de inhuur van tijdelijke medewerkers (risicoprofiel, 
geschiedenis, et cetera) om uit te sluiten dat zij over onrechtmatige data of 
voorkennis beschikken. 

Wij adviseren (tijdelijke) medewerkers bij het biedingsproces systematisch te 
screenen. Wij verwijzen verder naar de hoofdstukken 15 en 16 voor 
verbeterpunten op HR en screening. 
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Governance proces Qbuzz 

Het 'Projects governance process' van Abellio is niet ingevoerd in de Nederlandse 
biedingsactiviteiten bij Qbuzz. Binnen Qbuzz bestaan geen procedures, 
protocollen of aanwijzingen ten aanzien van de het biedingsproces. 

Wij adviseren de 'Projects governance process' en alle bijbehorende procedures 
voor alle biedingen in te voeren. 
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13 Vertrouwelijke informatie 


13.1 Achtergrond vertrouwelijke informatie 


NS onderkent het belang om de vertrouwelijkheid van bedrijfsinformatie te 
waarborgen en heeft maatregelen genomen die bijdragen aan beveiliging en het 
veilig gebruik van informatie, informatietechnologie en data. Het uitgangspunt 
hierbij is dat informatie die binnen NS als vertrouwelijk is aangemerkt alleen kan 
worden benaderd door iemand die daartoe door NS is gemachtigd. 

Bedrijfsinformatie kan om verschillende redenen als vertrouwelijk worden 
geclassificeerd, onder andere op grond van wet- en regelgeving (privacy, 
mededinging), ter bescherming van bedrijf kritische processen (IT) of in het kader 
van de bedrijfsvoering (concurrentiegevoelige informatie). Wanneer 
vertrouwelijkheid van deze gegevens niet is gewaarborgd kan dit leiden tot grote 
schade voor NS en andere betrokkenen. 

In 2012 heeft NS Risk Audit vastgesteld dat de vertrouwelijkheid van informatie 
onvoldoende was gewaarborgd. Sindsdien zijn verschillende initiatieven 
ontwikkeld om de beveiliging van informatie te verbeteren, zowel gericht op 
technisch gebied als op bewustwording van medewerkers. Hieronder zullen wij 
nader op deze ontwikkelingen ingaan. 

Abellio en haar individuele dochterondernemingen kennen een eigen beleid op 
het gebied van de bescherming van vertrouwelijke informatie. 


13.2 Verandering in de organisatie 


In 2012 is door de RvB een Chief Information Officer (hierna: CIO) aangesteld om 
de IT-omgeving binnen NS te verbeteren. Eén van de taken van de CIO is het 
beheer, de implementatie en de voortgang van het corporate 
informatiebeveiligingsbeleid NS. Dit beleid wordt centraal uitgevoerd in overleg 
met verantwoordelijken vanuit bedrijfsonderdelen en met specialisten zoals 
informatiebeveiligers, auditors, riskmanagers, juristen en fysieke beveiligers. Ook 
ziet de CIO erop toe dat de uitvoering bij de bedrijfsonderdelen aansluit op het 
corporate informatiebeveiligingsbeleid NS en dat dit past binnen de centrale 
beleidskaders. Vanaf 2013 valt de kwaliteitsverbetering van de IT-omgeving 
onder het TOP-IT programma. 

De informatiebeveiligingsactiviteiten op corporate niveau worden uitgevoerd 
door de Corporate Information Security Officer (hierna: CISO). Op 
bedrijfsonderdeelniveau worden deze werkzaamheden uitgevoerd door een 
Information Security Officer (hierna: ISO). In het geval van een groot 
bedrijfsonderdeel kan een ISO van een bedrijfsonderdeel ondersteund worden 
door een of meer Local Information Security Officers en/of een of meer 
Informatiebeveiligingsfunctionarissen. 
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Hieronder is een aantal initiatieven genoemd die sinds 2012 zijn ontwikkeld in het 

kader van informatiebeveiliging van NS: 

• In oktober 2013 is de roadmap informatiebeveiliging vastgesteld in het CFO- 
overleg. De roadmap bevat de maatregelen die noodzakelijk zijn om NS te 
beschermen tegen relevante dreigingen over een periode van drie jaar. 

• Eind 2014 constateerde NS Risk & Audit dat medewerkers niet weten hoe en 
waar zij incidenten moeten melden. Het project Security Incident Response 
(hierna: SIR) heeft tot doel te waarborgen dat NS voorspelbaar en adequaat 
reageert op securityincidenten. De contouren van het SIR operationele 
framework zijn in juni 2015 opgesteld. De komende periode wordt dit 
framework ter besluitvorming aangeboden. 

• Eind 2014 is gestart met het project Tracy Awareness. Dit project heeft als 
doel de bewustwording over informatiebeveiliging binnen NS te verhogen bij 
medewerkers en inhuurkrachten. Als onderdeel van dit project is in juli 2015 
het personeelsreglement 'Veilig omgaan met informatie' gepubliceerd op het 
intranet van NS. Verdere communicatie naar de medewerkers zal vanaf eind 
2015 plaatsvinden. 

• In het eerste kwartaal van 2014 is een Information Security Management 
System-tool aangeschaft. Deze tooi is een door ISO 27001/2 benoemde 
structuur, waarbinnen alle NS Informatiebeveiliging governance afspraken, 
beleidsregels, processen, maatregelen en risico's worden vastgelegd. Op dit 
moment beschikt NS nog niet over een functionerend systeem. Eind 2015 zal 
het systeem verder worden gevuld en geïntegreerd binnen bestaande 
(operationele) IT processen en afgestemd worden op de aanwezige set van 
keycontrols. 


Autorisatiebeheer 

In juni 2014 heeft de ExCo het Identity en Access Management (hierna: IAM) 
beleid goedgekeurd. IAM heeft tot doel het uniform en efficiënt inrichten van 
toegang tot informatiesystemen. Het implementatieplan IAM is in juni 2015 
bekrachtigd door de ExCo. De invoering van nieuwe werkplekken en de daaraan 
gerelateerde IAM-diensten maakt het mogelijk om de processen voor in- en 
uittredende medewerkers en inhuurkrachten in lijn te brengen met het beleid. 
Voor een goede werking van IAM moet eerst de personeelsadministratie en de IT- 
administratie in lijn worden gebracht. Dit zal worden uitgevoerd door de afdeling 
IT in samenspraak met de afdeling HR. 

Weerbaar NS 

Begin 2015 is het programma 'Weerbaar NS' ingesteld met als doel om de NS 
ambities op het gebied van informatiebeveiliging te realiseren. Het programma 
heeft als belangrijkste doelstellingen: 

• Behalen van doelstellingen uit de security roadmap van het programma 
Voorsprong 

• Verhogen van de bewustwording van NS-medewerkers met betrekking tot 
informatiebeveiliging 

• Realisatie van de overige onderdelen uit de security roadmap, waaronder: SIR, 
Tracy Awareness, ISMS en IAM 

• Oplossen van de bevindingen uit audits over informatiebeveiliging 

Op de auditkalender van NS Risk & Audit voor 2015 en 2016 is 
informatiebeveiliging een belangrijk onderwerp waar speciale aandacht aan 
wordt besteed. 
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13.3 Positieve ontwikkelingen 


Vertrouwelijkheid informatie hoog belegd in organisatie 

Uit de genomen maatregelen sinds 2012, blijkt dat NS het belang onderkent om 
vertrouwelijkheid van informatie te borgen. Informatiebeveiliging is een 
terugkerend onderwerp in de vergaderingen van de RvC, RvB en het 
managementteam IT. NS heeft een substantieel budget ter beschikking gesteld 
om de vertrouwelijkheid van informatie te waarborgen. 

Er is een CIO aangesteld en een afdeling Information Risk Management (hierna: 
IRM) opgezet die zich richt op informatiebeveiliging. Tussen IRM, IT-audit en de 
controlerend accountant is een reguliere samenwerking om informatie 
beveiliging te verbeteren. 


13.4 Analyse en verbeterpunten 


Desondanks zijn medewerkers zich niet altijd voldoende bewust van dat zij 
werken met vertrouwelijke informatie. Het informatiebeveiligingsbeleid leeft nog 
te weinig binnen de NS-organisatie. Verder hebben medewerkers onvoldoende 
kennis van de mogelijkheden die NS biedt om passend om te gaan met 
vertrouwelijke informatie (bijvoorbeeld beveiligde e-mail). Er heerst een cultuur 
waarin veilig werken met bedrijfsvertrouwelijke informatie vooral afhankelijk is 
van de medewerker zelf (bewustzijn, inschatting, werkwijze). Hierdoor bestaat 
het risico dat bedrijfsgevoelige informatie openbaar wordt, met mogelijke schade 
voor NS tot gevolg. 

Onjuiste classificatie 

Informatie wordt niet altijd juist geclassificeerd, wat er toe kan leiden dat niet 
altijd afdoende beveiligingsmaatregelen worden genomen. Er wordt niet 
bijgehouden waar documenten zich bevinden (devices, fysieke 
verschijningsvorm) waardoor onbekend is of informatie altijd op het juiste niveau 
beschermd wordt. Het risico bestaat dat hierdoor (onbewust) bedrijfsgevoelige 
informatie openbaar wordt, met mogelijke schade voor NS tot gevolg. 


Verder verbeteren bewustzijn 

In 2012 heeft NS een corporate informatiebeveiligingsbeleid vastgesteld. Verder 
bestaat binnen NS aandacht voor het bewustzijn rond informatiebeveiliging; 
bijvoorbeeld door het project 'Tracy Awareness' en is als onderdeel van dit 
project in juli 2015 het personeelsreglement 'Veilig omgaan met informatie' 
gepubliceerd op de intranetsite van NS. 
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14 Inkoop 


14.1 Achtergrond inkoop 


De inkoop van NS betreft een variëteit aan leveringen, diensten en werken van 
kantoorartikelen tot complete nieuwe treinstellen en bijbehorende onderdelen, 
inkopen van winkelgoederen, vastgoed en een variëteit aan diensten van 
schoonmaak tot juridisch advies. 

De inkoop bij de Nederlandse NS-organisatie is in de organisatie op verschillende 
plekken belegd. Op dit moment vinden de verschillende inkoopprocessen plaats 
bij de afdeling NS Procurement, stuurgroepen nieuw materieel, NedTrain, NS 
Stations en de Inhuurdesk. 

Abellio en haar individuele dochterondernemingen verzorgen zelfstandig hun 
inkoop. Hetzelfde geldt voor de deelnemingen van NS. 


14.2 Verandering in de organisatie 


Bij de verzelfstandiging van NS werd het concern gereorganiseerd. Verschillende 
taken werden afgestoten en de resterende activiteiten werden ondergebracht in 
bedrijfsonderdelen die als zelfstandige profit centers gingen functioneren en ook 
zo werden aangestuurd. De verschillende bedrijfsonderdelen hadden ieder hun 
eigen inkoopfunctie. 

In 2004 is de inkooporganisatie herzien en is de functie van stafdirecteur Inkoop 
ontstaan om de inkoop beter te stroomlijnen. De herziene inkooporganisatie is 
vanuit NS Concerninkoop in 2006 vastgelegd in een zogenaamde 
'Inkoopgovernance' ('Inkopen bij NS', 2006). In de inkoopgovernance 2006 wordt 
de rol van de afdeling Concerninkoop met betrekking tot de inkoopstromen bij de 
bedrijfsonderdelen beschreven. 


Doelstelling van het inkoopbeleid in 2006 is maximale synergie te bewerkstelligen 
en het inkoopproces te professionaliseren en te regisseren. Uitgangspunt is 
daarbij nog steeds wel de zelfstandige inkooprol van de verschillende 
bedrijfsonderdelen. De rol van de afdeling Concerninkoop is in die tijd vooral 
procesbegeleider bij Europese aanbestedingen. 

In 2012 is de strategie van zelfstandige profit centers herzien en is besloten om 
de functionele aansturing van NS te centraliseren naar 'één NS'. Directe 
aanleiding voor deze transitie was een benchmarkonderzoek van Hackett in 2012. 

Om de financiële prestaties te verbeteren, is besloten om verantwoordelijkheden 
op het gebied van bepaalde functies niet meer decentraal maar centraal te 
organiseren. In 2013 is daarvoor het zogenaamde TOP-programma gestart, 
waarin een looptijd van 3 tot 5 jaar is voorzien om de reorganisatie te 
bewerkstelligen. Alle professionele competenties komen daarbij onder centrale 
aansturing. Het steeds dupliceren van professionele functies op verschillende 
niveaus van de organisatie wordt met deze wijze van organiseren voorkomen. 


14.3 TOP-Procurement 


In 2013 is het programma TOP-Procurement gestart, waarin een verdere stap is 
gemaakt in het vormgeven van een integraal inkoopbeleid. Doelstelling is de 
inkoopkracht van de Nederlandse NS-organisatie verder te bundelen om een 
belangrijke kostenbesparing te realiseren. Op deze doelstelling wordt ook actief 
gestuurd. In TOP-Procurement is een centrale afdeling Procurement ingericht, die 
een belangrijke rol heeft bij het bundelen van onder andere de inkoopvraag, het 
professioneler selecteren van leveranciers en het bedingen van betere 
voorwaarden. 
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In de besluitvorming in 2013, zijn op het gebied van inkoop enkele uitzonderingen 
gemaakt op de centralisatie van de inkoop voor zogenaamde 'Product Related 
Spend'. Dit betreft 'Treingebonden zaken van NedTrain en Retailgoederen van NS 
Stations Retail'. 

Om 'TOP-Procurement' verder vorm te geven en de rol van de afdeling 
Procurement vast te leggen, is in 2015 een nieuwe inkoopgovernance opgesteld 
'Inkoopgovernance 2015' ('Inkopen doen we zo'). Deze inkoopgovernance is na 
enige vertraging per 1 september 2015 van kracht geworden. Al in de loop van 
2014 is de Nederlandse NS-organisatie gestart met de ontwikkeling van de 
nieuwe inkoopgovernance. Uitgangspunt is dat de zelfstandige inkooprol van de 
verschillende bedrijfsonderdelen - behoudens enkele uitzonderingen - verdwijnt 
en dat de afdeling Procurement verplicht een centrale rol gaat vervullen bij de 
inkopen van de diverse bedrijfsonderdelen. 

De nieuwe inkoopgovernance heeft in beginsel betrekking op heel NS, maar kent 
in haar toepassingsgebied een paar belangrijke uitzonderingen. De 
inkoopgovernance van NS procurement is niet van toepassing op: 

• Nieuw treinmaterieel 

• Treingebonden zaken van NedTrain 

• Retail for sale van NS Stations Retailbedrijf 

• Abellio en haar dochterondernemingen 

• Deelnemingen NS 

Met betrekking tot bovengenoemde zaken geldt een separate governance (zie 
onder 14.5). 

14.4 Inkoop Abellio en haar dochterondernemingen 


NS Procurement vervult geen rol bij de Nederlandse en buitenlandse onderdelen 
van Abellio. Zoals beschreven in hoofdstuk 5 heeft NS gekozen voor een 
aansturingsmodel, waarbij de individuele dochterondernemingen 
verantwoordelijk zijn voor het zelfstandig inrichten van hun processen waaronder 
het inkoopproces. Hierbij heeft NS noch Abellio minimale eisen gesteld aan de 


wijze waarop de onderdelen het inkoopproces invullen. De procuratie voor 
inkopen is wel geformaliseerd in de zogenaamde Delegation of Authority. 


14.5 Positieve ontwikkelingen 


• NS kent verschillende inkoopstromen (Procurement, nieuw materieel, 
NedTrain, Retail Stations, inhuur diensten). Voor elk van deze inkoopstromen 
zijn hard Controls ingericht waaronder procuratie, getrapte mandatering, 
vier-ogen-principe, functiescheiding, formele en traceerbare vastlegging. 

• In 2013 is het programma TOP-Procurement gestart, waardoor meer 
centralisatie, standaardisatie en transparantie van het inkoopproces wordt 
gestimuleerd. De afdeling Procurement heeft een belangrijke rol gekregen als 
centrale inkoopafdeling waardoor bundeling van de inkoop wordt 
gerealiseerd. 

• Bundeling van de inkoopactiviteiten zorgt voor meer eenduidige procedures, 
meer onafhankelijke inkoop, meer controle en efficiëntere screening van 
leveranciers. 

• In de loop van 2015 is een duidelijk leesbare inkoophandleiding 'Inkopen 
doen we zo!' opgesteld, waarvan de naleving per 1 september 2015 verplicht 
is gesteld. In deze inkoophandleiding wordt een overzicht gegeven van het 
gehele inkoopproces, de procuratie en autorisatie en van de Procurement 
organisatie. 

• Voor de aankoop van nieuw materieel is per 2015 een verbeterde 
governance structuur ingericht die direct onder de CFO is belegd, waarbij alle 
stakeholders integraal zijn betrokken. De opzet van het programma is in juli 
2015 door Mott McDonald ge-audit. In dit rapport is vastgesteld dat het 
programma management van de Intercity Nieuwe Generatie op orde is en dat 
de aanbevolen verbeteringen in het ADSE rapport (2014) zijn aangebracht. 
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14.6 Analyse en verbeterpunten 


Uitzonderingen inkoopgovernance treingebonden inkopen en winkelgoederen 

De 'Inkoopgovernance 2015' is niet van toepassing voor de gehele NS-organisatie. 
Uitzonderingen zijn nieuw treinmaterieel, treingebonden inkopen (NedTrain), 
retail for sale (NS Stations) alsmede inkopen van Abellio. Door de toepassing van 
deze uitzonderingen wordt, met name op het gebied van treingebonden inkopen, 
de expertise van de afdeling NS Procurement onvoldoende ingeschakeld en 
interne beheersmaatregelen die binnen NS Procurement zijn ingericht, worden 
niet volledig toegepast door de bedrijfsonderdelen. 

De beheersing van integriteitsrisico's wordt door deze verbrokkeling van inkoop 
meer complex dan nodig. Het risico bestaat dat: 

• Inkopen mogelijk niet voldoen aan geldende wet- en regelgeving 

• Inkopen mogelijk niet passen binnen het strategische beleid 

• Onvoldoende onderzoek wordt verricht naar de betrouwbaarheid van 
leveranciers 

Om deze risico's te beperken zou, ten aanzien van de treingebonden inkopen, de 
afdeling NS Procurement meer betrokken kunnen worden bij de uniforme opzet 
van het beleid, ook om te waarborgen dat dit beleid wordt toegepast. 

Uitzonderingen inkoopgovernance Abellio 

Zoals eerder aangegeven is de 'Inkoopgovernance 2015' niet van toepassing op 
Abellio en haar dochterondernemingen. Behalve de bestaande 
autorisatiegrenzen (hoofdstuk 6.2) hebben wij vastgesteld dat vanuit Abellio 
groep en vanuit de landenorganisaties geen standaardprocedures noch minimale 
eisen zijn gesteld aan de wijze waarop de dochters het inkoopproces dienen in te 
vullen. Er bestaat daardoor geen uniformiteit tussen het beleid dat bij iedere 
dochter wordt gehanteerd. Hierbij moet tevens worden opgemerkt dat iedere 
dochter zich in een andere fase van volwassenheid bevindt. 


Doordat geen standaardprocedures noch minimale eisen ten aanzien van het 
inkoopproces bestaan, loopt de organisatie het risico dat de door de dochters 
toegepaste procedures onvoldoende waarborgen bevatten om ongewenst gedrag 
tot het door de organisatie gewenste niveau te beperken. 

Het verdient de aanbeveling om standaardprocedures of minimale eisen op te 
stellen ten behoeve van het inkoopproces van Abellio als geheel. Hierbij dient 
zoveel mogelijk aansluiting gezocht te worden bij het binnen NS geldende beleid. 

Europese aanbestedingen 

Binnen NS bestaan in beginsel duidelijke procedures voor aanbestedingen en 
aanbestedingsgrenzen (tenderboards). De tenderboards zijn ingericht om vooraf 
te toetsen of NS de (Europese) aanbestedingen rechtmatig en doelmatig uitvoert. 
In de procedures is sprake van een 'zwaarwegend advies' van de tenderboards. 
Momenteel beoordeelt NS niet of alle inkopen die Europees aanbesteed dienen 
te worden ook daadwerkelijk aan de tenderboards worden voorgelegd. Zo 
bestaat de mogelijkheid dat inkopen worden opgesplitst zodat de aankopen 
individueel onder het bedrag van de Europese aanbestedingsgrens blijven. 
Momenteel vindt er ook geen actieve handhaving plaats indien zou blijken dat 
inkopen ten onrechte niet aan de tenderboards zijn voorgelegd. Het risico bestaat 
dat NS hierdoor ten onrechte inkopen verricht zonder Europees aan te besteden. 

Wij adviseren om de medewerkers te informeren over de geldende wet- en 
regelgeving en het belang van de tenderboards. Daarnaast dienen de inkopen 
gemonitord te worden om vast te stellen dat alle relevante inkopen ook 
daadwerkelijk aan de tenderboards zijn voorgelegd. Handhaving op het voldoen 
aan geldende procedures is belangrijk om in de toekomst te voorkomen dat 
hiervan onterecht wordt afgeweken. 
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Inrichting hard Controls 

Een aantal ingerichte hard Controls is in de praktijk eenvoudig te omzeilen, 
waardoor niet gewaarborgd is dat alle inkopen betrouwbaar en integer tot stand 
komen. Wij hebben met betrekking tot hard Controls de volgende zaken 
geconstateerd: 

• Binnen NS Reizigers kunnen inkoopfacturen worden betaald, zonder 
ordernummer, na goedkeuring van budgethouder. 

• Het systeem dwingt niet af dat meerdere offertes worden opgevraagd. 
De interne beheersing is onvoldoende om te borgen dat de hard Controls 
effectief worden uitgevoerd. Hierdoor bestaat het risico dat in strijd met 
wet- en regelgeving wordt gehandeld. 

• Binnen de organisatie is sprake van 'moeten en mogen' regels. 
Medewerkers kunnen voornoemde 'ruimte' in het systeem en de 
procedures derhalve ervaren als niet dwingend, deze omstandigheid 
verhoogt het risico. 

Het verdient de aanbeveling om zorg te dragen voor een adequate interne 
beheersing waarbinnen de mogelijkheden worden beperkt om buiten het 
inkoopbeleid en de hard Controls om te handelen. 
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15 Human resource management 


15.1 Achtergrond Human resource management 


Human resource management (hierna: HR) bij NS omvat het geheel van 
personele maatregelen dat de organisatiedoelstellingen helpt te realiseren, zoals 
werving en selectie, personeelsbeleid en -administratie, betrekkingen met 
vakbonden en ondernemingsraad, het verzorgen van opleidingen en sociale 
begeleiding. 

HR kent binnen NS twee pijlers. De eerste pijler is dat HR een duidelijke bijdrage 
levert aan een optimale reis van de klant. De andere pijler is 'kwaliteit dóór 
efficiency', waarbij HR streeft naar eenvoud in de eigen processen over grenzen 
van de verschillende afdelingen heen. 

Abellio en haar individuele dochterondernemingen kennen een eigen HR- 
organisatie. Op dit moment worden afspraken gemaakt tussen NS en Abellio over 
verdergaande samenwerking op HR-gebied en het invoeren van een standaard op 
HR-gebied. Voor wat betreft deze standaard is er vooral aandacht voor het 
(variabele) beloningsbeleid, waarbij incentives aan een maximum dienen te 
worden gebonden. 


15.2 Verandering in de organisatie 


Tot 2014 was HR per bedrijfsonderdeel als staffunctie georganiseerd. Het TOP-HR 
programma heeft als ambitie om de oude HR-staforganisatie te ontwikkelen tot 
een geïntegreerde HR-organisatie. Daarbij wordt nadruk gelegd op de rol van de 
HR als business partner voor de bedrijfsonderdelen. De ontwikkeling gaat daarbij 
van een interne klant-leverancier verhouding naar samenwerking met de 
verschillende bedrijfsonderdelen in de lijnorganisatie. 


Het doel van de TOP-projecten is het bereiken van verhoogde efficiëntie en 
verbeterde kwaliteit van services. Het nieuwe organisatiemodel voorziet in: 

a) Bundeling van versnipperde expertise in drie Centers of Expertise (CoE's) 

b) Het opnieuw inrichten van de rol van personeelsadviseur en -manager 

c) Samenwerking van HR business partners en CoE's rondom doelgroepen. 
Gerichter sturen op strategische personeelsbehoefte is een belangrijk en 
nieuw aangrijpingspunt voor NS 

Sinds 1 januari 2014 rapporteren de decentrale HR-directeuren in de 
bedrijfsonderdelen en de directeuren van de drie CoE's hiërarchisch aan de 
directeur HR & Organisatieontwikkeling NS. Alle HR-medewerkers (inclusief HR 
business partners & adviseurs ) maken nu onderdeel uit van de Groep in plaats 
van de bedrijfsonderdelen. HR is ingericht met drie CoE's, te weten: Human 
resource management, Employee Life Cycle en Talent Management Organisatie. 
Uitgangspunt is dat HR samenwerkt met de CoE's, om te komen tot 
dienstverlening die aansluit bij de wensen van de verschillende 
bedrijfsonderdelen in de lijnorganisatie. 

De personeelsadministratie en salarisverwerking wordt door het Shared Service 
Center P&O verwerkt met behulp van het systeem SAP (Systems Applications & 
Products). Het Shared Service Center P&O en de gehele salarisadministratie zijn 
uitbesteed aan Launch. Uitzondering hierop is het Retail personeel dat onder de 
Horeca CAO werkt. Die administratie verloopt via AFAS en is organisatorisch 
ondergebracht bij het human resource management. 
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15.3 Positieve ontwikkelingen 


De ExCo heeft onderkend dat de oude gedragscode voor NS uit 2005 niet meer 
actueel is. Er is een nieuwe gedragscode ontwikkeld die recent het 
goedkeuringsproces heeft doorlopen. In oktober 2015 heeft de COR ingestemd 
met de nieuwe gedragscode. Deze geactualiseerde gedragscode brengt 
duidelijker tot uitdrukking welke principes op het gebied van integriteit door NS 
en haar medewerkers worden gehanteerd. 

Binnen NS is in 2012 onderkend dat de HR-organisatie sterker moest worden 
gecentraliseerd en geïntegreerd, om een goede en betaalbare ondersteuning aan 
de business te kunnen blijven bieden. Dit heeft geleid tot het verbeterprogramma 
TOP-HR, dat in 2013 is gestart en inmiddels is afgerond. Binnen de geïntegreerde 
HR-organisatie is het eenvoudiger om centraal HR-beleid door te voeren met 
specifieke waarborgen met betrekking tot integer handelen. 

Alle personeel gerelateerde processen waarbij medewerkers zelf een rol hebben, 
verlopen via het geautomatiseerde systeem 'Digitaal Zaken Doen'. Dit geldt onder 
meer voor het aanvragen van verlof, registeren van overuren, indienen van 
declaraties en het melden van bijzondere werkzaamheden. In Digitaal Zaken 
Doen is het vier-ogen-principe ingebouwd. Alle aanvragen en registraties vereisen 
een akkoord van het verantwoordelijk management en daarnaast zijn er 
controlemogelijkheden voor toezichthoudende partijen, zoals controllers. Van 
iedere HR-functionaliteit is een procesbeschrijving beschikbaar. 

Voor het aannemen van personeel geldt in de Nederlandse NS-organisatie een 
vaststaand proces met de nodige waarborgen voor integer handelen. De 
begeleiding van HR-consulenten en het systeem Digitaal Zaken Doen dwingt 
toepassing van dit proces bij de lijnorganisatie af. 


De standaard arbeidscontracten voor NS CAO personeel, bevatten een 
geheimhoudingsclausule en de verplichting om zich aan de bedrijfsreglementen 
te houden. Voor individuele arbeidsovereenkomsten zijn ook standaard 
arbeidsovereenkomsten beschikbaar, maar deze kunnen worden aangepast naar 
de specifieke afspraken die met de betrokken NS-medewerker worden gemaakt. 
Medewerkers zijn hieraan gebonden wanneer ze het contract ondertekenen. Er is 
een NS screeningsbeleid en een lijst met risicofuncties. 

Voor de inhuur van extern personeel (HBO / WO) is een inhuurdesk ingericht. 
Hiervan moeten bedrijfsonderdelen gebruik maken wanneer zij werkzaamheden 
niet door interne NS-medewerkers kunnen laten doen. Vanuit het HR-beleid is 
voorgeschreven dat iedere inhuur van een externe medewerker vanaf 1 
september 2015 via de inhuurdesk moet plaatsvinden. Ondertussen heeft HR 
hiertoe nadere richtlijnen opgesteld en dit document 'Inhuurbeleid NS' ter 
goedkeuring voorgelegd aan de ExCo. 


15.4 Analyse en verbeterpunten 


Implementatie nieuwe gedragscode 

In oktober 2015 is een geactualiseerde en verbeterde gedragscode ingevoerd. De 
oude gedragscode van NS uit 2005 was al enige tijd gedateerd en niet meer 
levend onder het personeel. Hierdoor werd de gedragscode onvoldoende 
nageleefd. De nieuwe gedragscode is in oktober 2015 gepubliceerd op de interne 
internetsite van NS, maar nog niet breed uitgedragen en levend gemaakt bij 
medewerkers. Dit verdient aandacht. 
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Niet volgen van de inhuurprocedure 

Binnen de Nederlandse NS-organisatie wordt niet altijd de reguliere 
inhuurprocedure voor externen gevolgd. Externen konden in specifieke situaties 
door de afdelingen direct worden ingehuurd, conform een eigen aanpak en 
budgettering. Tegen deze onwenselijke situatie zijn recent stappen ondernomen, 
die moeten afdwingen dat inhuur alleen nog mogelijk is met een SAP-registratie. 
Wel is het mogelijk de procedure via de inhuurdesk niet te volgen door externen 
op adviesbasis in te huren. Hierdoor nemen de integriteitsrisico's toe, doordat de 
waarborgen van centrale inhuur niet gegarandeerd zijn, (contractuele 
voorwaarden zoals geheimhoudingsclausules). Vanwege de risico's die verbonden 
zijn aan ongereguleerde inhuur van externen, verdient het aanbeveling om een 
strikte naleving van het inhuurbeleid van externen af te dwingen en 
uitzonderingssituaties zoveel mogelijk te beperken en nauwgezet te volgen. 

Onduidelijk screeningsbeleid 

Binnen de Nederlandse NS-organisatie is screening van medewerkers geen 
regulier proces en per bedrijfsonderdeel geregeld. Het is onduidelijk in hoeverre 
het overkoepelende NS-beleid aansluit bij het beleid per bedrijfsonderdeel. 
Verder maakt het screeningsbeleid onvoldoende duidelijk wie gescreend moet 
worden. Door deze onduidelijkheden neemt het risico toe, dat personeel dat 
wordt aangenomen niet wordt gescreend terwijl dit wel noodzakelijk is gezien de 
aard van de functie. Het verdient aanbeveling een integraal screeningsbeleid 
door te voeren. 


Onvoldoende toezicht 

Werknemers op sleutelposities kunnen geconfronteerd worden met activiteiten 
en geschenken van externe partijen, met als doel deze werknemers op 
oneigenlijke wijze te beïnvloeden. Er is binnen de Nederlandse NS-organisatie 
geen integraal zicht op de eventueel door externe partijen aangeboden 
activiteiten en geschenken, of één en ander is aangenomen of geweigerd en op 
welke gronden dat is gebeurd. Dit kan bereikt worden door het gebruik van het 
gifts & hospitality verder te uniformeren voor de hele NS-organisatie. 

Eigen HR-beleid Abellio 

De Abellio-organisatie, waaronder de verschillende door Abellio geëxploiteerde 
concessies, kennen een eigen HR-beleid. In de gekozen constellatie is het bestuur 
van Abellio verantwoordelijk voor het door Abellio gevoerde HR-beleid. Wel vindt 
op dit moment overleg plaats over minmale vereisten waaraan het HR-beleid van 
Abellio zou dienen te voldoen, bijvoorbeeld op beloningsbeleid. De rol van NS HR 
bij Abellio is hierin beperkt, wat aansturing, beheersing en toezicht vanuit NS ook 
beperkt. Ondertussen is een projectteam gestart om een standaard vast te stellen 
voor HR, waaronder beloningsbeleid, binnen Abellio 6 . 


6 Bron: Abellio HR project, Key HR Areas & Minimal Standards, Draft 1.0, 9 oktober 2015. 
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16 Screening 


Bij NS vindt zowel screening plaats van personen als van bedrijven. De screening 
van personen wordt uitgevoerd door de afdeling Corporate Security. Screening 
van personeel vindt plaats op integriteitsaspecten bij het aannemen en inhuren 
van personeel voor specifieke risicofuncties. Bij screening van personeel worden 
controles uitgevoerd op de referenties, achtergrond en eerdere werkzaamheden. 

Screening van bedrijven omvat het uitvoeren van controles op de 
betrouwbaarheid van bedrijven als contractpartner of leverancier van NS. Daarbij 
gaat het om onderzoek naar de kredietwaardigheid, of om andere zaken die een 
verhoogd risico met zich mee brengen. 

Abellio en haar individuele dochterondernemingen kennen een eigen 
screeningsbeleid. 


16.1 Veranderingen in de organisatie 


Sinds 2010 gebruikt HR een zogenaamde risicofunctielijst als uitgangspunt voor 
het laten uitvoeren van screening. Het management dat de betreffende persoon 
wil aannemen of inhuren, is verantwoordelijk voor het laten uitvoeren van een 
screening. Het is mogelijk dat de HR-adviseur die het management bij de 
aanname / inhuur begeleidt, voorstelt om opdracht te geven tot screening. 

HR en NS Legal voeren momenteel overleg over uitbreiding van de 
risicofunctielijst, bijvoorbeeld met functies waarin veel toegang is tot 
vertrouwelijke informatie. 


Evenals bij screening van personeel wordt de opdracht voor het screenen van een 
bedrijf gegeven door een manager binnen NS. Dit kan bijvoorbeeld een 
inkoopmanager zijn, die een toets wil laten uitvoeren op de financiële 
betrouwbaarheid of reputatie van een beoogd leverancier. Het kan ook gaan om 
de manager van een operationele business afdeling, die met een bedrijf een 
samenwerking overweegt aan te gaan. Wanneer inkoopmanagers onderhandelen 
met potentiële leveranciers over het afsluiten van een contract, is het gebruikelijk 
dat de financiële betrouwbaarheid en / of reputatie van het bedrijf wordt 
getoetst. 


16.2 Positieve ontwikkelingen 


Bij het aannemen of inhuren van nieuw personeel vindt screening plaats op grond 
van objectieve criteria, als de beoogde functie van de betreffende persoon is 
aangemerkt als een risicofunctie. De risicofuncties binnen de Nederlandse NS- 
organisatie zijn vermeld op de zogenaamde risicofunctielijst, die dateert uit 2010. 

De lijst wordt door HR gebruikt als uitgangspunt voor het laten uitvoeren van 
screening. De risicofunctielijst bevat met name de hoge bestuursfuncties binnen 
NS (leden RvB, directievoorzitters bedrijfsonderdelen). Het is ook mogelijk om 
screenings uit te voeren op personen die geen risicofunctie (gaan) vervullen. 

Screening van personen wordt in de meeste gevallen uitgevoerd door 
medewerkers van de NS-afdeling Corporate Security. Voor bestuursfuncties 
wordt screening door de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) 
uitgevoerd. Screening gebeurt via zogenaamde achtergrondonderzoeken. Daarbij 
hanteert Corporate Security een standaardprocedure. 



Pagina 66 


2B°> 








8 januari 2016 


NS Weerbaar naar de toekomst 


Bij twijfel aan de betrouwbaarheid van een bedrijf wordt ook screening 
uitgevoerd op bedrijven. Het screenen van bedrijven vindt plaats door Corporate 
Security. Deze hanteert ook hiervoor een standaard procedure. Daarbij wordt het 
bedrijf getoetst op extern te valideren informatie, zoals de kredietregistratie en 
de jaarrekening. Corporate Security legt haar bevindingen vast in een rapport, dat 
wordt aangeboden aan de opdrachtgever (NS manager). 


16.3 Analyse en verbeterpunten 


Volledigheid risicofunctielijst 

De risicofunctielijst bevat met name de hoge bestuur posities binnen NS (leden 
RvB, directievoorzitters bedrijfsonderdelen, directeuren). 

Het is ook mogelijk om screenings uit te voeren op personen die geen functie uit 
de lijst (gaan) vervullen. Van deze mogelijkheid wordt slechts incidenteel gebruik 
gemaakt. Er bestaan echter diverse functies die specifieke risico's met zich 
meebrengen, die niet op de lijst zijn opgenomen. Dit betreft bijvoorbeeld functies 
waarbij wordt omgegaan met vertrouwelijke informatie, grote geldstromen of 
klantgegevens. Het is aan te bevelen om de risicofunctielijst aan te vullen met 
functies die specifieke risico's met zich meebrengen. 

Uitvoeren screenings 

Wij hebben geen integrale controle aangetroffen waarbij wordt getoetst of er 
daadwerkelijk screening heeft plaatsgevonden van alle personen in risicofuncties, 
omdat het toezicht op het uitvoeren van screening niet op één plaats is belegd. 
Hierdoor bestaat het risico dat screening wenselijk is, maar niet wordt 
uitgevoerd. Wij bevelen aan om het toezicht op screening helder in de organisatie 
te beleggen. 


Inhuur externen 

Voor de inhuur van externe zelfstandigen zonder personeel is voorzien dat vanaf 
1 oktober 2015 een integriteitsverklaring en een Verklaring Omtrent Gedrag 
wordt vereist. De risicofunctielijst is niet van toepassing op personen die op 
resultaatsverplichting worden ingehuurd. Dit gaat bijvoorbeeld om externen die 
worden ingezet voor adviesopdrachten. Ook voor uitzendwerk is de 
risicofunctielijst niet van toepassing. 

Om voor werk met resultaatsverplichting en uitzendwerk screening te laten 
plaatsvinden, moeten afspraken worden gemaakt met de externe organisatie 
waarvoor deze personen werkzaam zijn. Doordat hierin niet automatisch is 
voorzien bestaat het risico dat externen onvoldoende worden gescreend. Wij 
bevelen aan om standaard screening plaats te laten vinden bij externen in 
risicovolle functies. 

Ten aanzien van leveranciers ziet de contractmanager van NS Procurement toe 
op de noodzaak en invulling van afspraken over screening. Het initiatief daartoe is 
afhankelijk van de betrokken contractmanager (of achterliggende opdrachtgever 
vanuit de NS-business organisatie). Nu niet alle inkoop via NS Procurement loopt, 
bestaat het risico dat leveranciers onvoldoende worden gescreend, waardoor het 
risico op integriteitsinbreuken niet afdoende wordt beheerst. Het verdient 
aanbeveling om de mogelijkheid van screening standaard op te nemen in 
leverancierscontracten. 

De Abellio-organisatie, waaronder de verschillende door Abellio geëxploiteerde 
concessies, kennen een eigen screeningsbeleid. In de gekozen constellatie is het 
bestuur van Abellio verantwoordelijk voor het door Abellio gevoerde screening 
beleid. 
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17 Vastgoed 


De reële waarde van de vastgoedportefeuille van NS bedroeg ultimo 2014 € 0,5 
miljard. 7 Het merendeel van het vastgoed van NS is in eigendom bij NS Stations. 
Daarnaast hebben enkele bedrijfsonderdelen vastgoed in eigendom en/of 
beheer. 


17.1 Achtergrond vastgoedmarkt 


De vastgoedwereld is de laatste jaren veel negatief in het nieuws geweest. De 
diverse voorbeelden uit het verleden maken duidelijk dat vastgoedtransacties 
zich goed lenen voor fraude en onregelmatigheden. Bekend zijn de zogenaamde 
ABC-transacties waarbij een object veelal in een korte tijd diverse malen wordt 
doorverkocht tegen een hogere prijs, zonder dat waardevermeerdering heeft 
plaatsgevonden. In het verleden bestond niet veel toezicht in de vastgoedsector. 
In de vastgoedsector is veel veranderd. Er zijn diverse normeringen en best 
practices gekomen bijvoorbeeld vanuit Vereniging van Nederlandse 
Projectontwikkeling Maatschappijen (hierna: NEPROM) en Vereniging van 
Institutionele Beleggers in Vastgoed, Nederland (hierna: IVBN). Verder vindt meer 
controle plaats door toezichthouders en zijn bedrijven zich meer bewust van de 
integriteitsissues. Desondanks is er nog steeds een verhoogd risico op 
onregelmatigheden. 


17.2 Vastgoed NS 


NS is aangesloten bij de brancheorganisaties IVBN en NEPROM. Omdat het risico 
op integriteitsinbreuken in de vastgoedsector hoger dan gemiddeld is gebleken, 
hebben genoemde brancheorganisaties de afgelopen jaren hun gedragscodes 
aangescherpt op het gebied van integriteit. NS Stations heeft via interne regels en 
procedures de gedragscodes van IVBN en NEPROM van toepassing verklaard voor 
NS Stations. De NEPROM gedragscode stelt onder meer regels aan: 

• het gedrag met diverse regionale overheden 

• het gedrag met klanten 

• het gedrag met derden 

• het gedrag met medewerkers 

• het gedrag binnen aangesloten leden 

Ten aanzien van het gedrag bij grond- en vastgoedtransacties is geregeld dat 
leden: 

• beleid geformuleerd dienen te hebben voor deze transacties 

• met een transactieregister dienen te werken, zodat nadien de correctheid 
van de transactie beoordeeld kan worden 

Tevens dient bij twijfel over een transactie deze intern gemeld te worden. 


De IVBN code richt zich specifiek op de beheersing van frauderisico's en stelt 
onder meer regels aan het business control framework rondom: 

• aankoop en verkoop 

• beheer, verhuur / leegstand en onderhoud 

• taxeren 


7 Bron: Jaarverslag 2014, pagina 128 
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17.3 Veranderingen in de organisatie 


De station activiteiten van NS op het gebied van vastgoed, retail en operaties zijn 
in 2007 samengevoegd onder de naam NS Poort. Onder deze naam profileerde 
NS zich als een actieve partij op de vastgoedmarkt. In 2012 is de naam van NS 
Poort veranderd in NS Stations. 

Onder de naam NS Stations heeft de nadruk van de afdeling Vastgoed & 
Ontwikkeling sinds 2012 meer een strategische focus gekregen. Zo is onder meer 
besloten om niet-strategische vastgoed beleggingen in de omgeving van stations 
af te bouwen. 

NS Stations is een onderdeel van het NS-concern. Binnen de afdeling Vastgoed & 
Ontwikkeling van NS Stations vindt aankoop, verkoop en verhuur van panden en 
gronden plaats. Daarnaast richt Vastgoed & Ontwikkeling zich op het ontwikkelen 
van bestaande en nieuwe stationslocaties die via aanbestedingstrajecten zijn 
geselecteerd. 

De processen van de afdeling Vastgoed & Ontwikkeling staan digitaal beschreven. 
Alle processen worden vanuit dit digitale systeem doorlopen via een procesflow. 
Bij elke stap is uitleg gegeven over de verantwoordelijkheden, de te nemen 
acties, benodigde documenten en beslissingen. In het proces kan men pas naar 
een volgende stap als acties in de voorafgaande stap zijn afgerond. 

Voor aankopen en investeringen gelden de procedures van het 
investeringsmanual van NS. Aankopen van panden of grond komt nog maar 
zelden voor. De focus ligt nu op investeringen in stations en verkoop van niet 
strategische gronden en panden. 


Vastgoed & Ontwikkeling kent een interne gedragscode en diverse procedures 
die gericht zijn op het voorkomen van integriteitsinbreuken. Er zijn afspraken 
gemaakt met Corporate Security over het screenen van nieuwe medewerkers en 
over het gewenste screeningsniveau. De meer intensieve toepassing van 
screening door NS Stations, past bij het risicoprofiel van haar primaire business. 

Binnen de afdeling Vastgoed & Ontwikkeling bestaat een verkoopteam dat aan de 
hand van een jaarlijks vastgestelde verkooplijst uitvoering geeft aan de 
desinvesteringen. Een verkooptransactie wordt voorbereid in een 
desinvesteringsvoorstel en in het Directie-Investerings-Overleg vastgesteld bij 
een transactie boven de € 125.000. Indien het verkopen betreft in het 
stationsgebied gaan deze altijd via het Directie-Investerings-Overleg, ongeacht 
verkoopprijs of waarde. 

Voor de begeleiding van de verkoop wordt een externe makelaar ingehuurd. Bij 
verkoop en verhuur van vastgoed wordt gebruik gemaakt van twee grote 
makelaarskantoren. Deze hebben een raamovereenkomst met NS Stations. 
Makelaars wisselen eens in de drie jaar. Aan alles wat verkocht wordt ligt een 
taxatierapport ten grondslag van een onafhankelijke taxateur. Bij zeer lokaal 
vastgoed wordt een lokale taxateur/makelaar gebruikt omdat deze beter weet 
wat de lokale prijs is in een bepaalde regio. 

Indien de kopende partij niet bij NS Stations bekend is, wordt er een 
integriteitsscreening uitgevoerd. Integriteitstoetsen op externe partijen laat NS 
Stations uitvoeren door een extern bureau. Zodra er overeenstemming is met 
een kopende partij over prijs en voorwaarden van de transactie stelt de afdeling 
Legal van NS een koopovereenkomst op. 

Verhuur van vastgoed vindt plaats op basis van onderling overleg tussen 
locatiemanager en de exploitatiemanager. Voor het bepalen van de verhuurprijs 
maakt de exploitatiemanager gebruik van eigen marktkennis en de kennis van de 
externe makelaar opgedaan bij referentie projecten. Aan de hand van een 
checklist wordt getoetst of aan alle standaard vereisten is voldaan. 
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De exploitatiemanager beoordeelt altijd via een globale check de potentiële 
nieuwe zakenpartner. Daarnaast wordt er in onderling overleg besproken of een 
bepaalde partij al dan niet geschikt is. De huurcontracten worden samen met de 
afdeling Legal van NS opgesteld. 

Als besloten is om gebieden, stations of gebouwen te ontwikkelen, wordt via een 
aanbestedingstraject de verschillende (ver)bouwactiviteiten ingekocht. 
Opdrachtgever is veelal ProRail. Voor elk project is het managementteam van de 
afdeling Vastgoed & Ontwikkeling de opdrachtgever. 

Bij projecten is de ontwikkelaar met een team verantwoordelijk voor het gehele 
project. Het team bestaat onder andere uit de exploitatiemanager, een 
(technisch) beheerder en een projectcontroller. De projectcontroller rapporteert 
aan de CFO van NS Stations. In het digitale systeem staat de procesbeschrijving 
van Ontwikkeling beschreven. Per fase zijn specifieke documenten vereist die in 
het projectdossier worden vastgelegd en per fase wordt er budget vrijgegeven 8 . 
Elk kwartaal wordt gerapporteerd over de status en de voortgang van de 
projecten. 

De aanbestedingsrichtlijnen zijn samen met NS Procurement bepaald. De 
richtlijnen hiervoor zijn uniform, maar per aanbesteding kan het proces 
specifieker worden gemaakt. De Tenderboard NS Stations toetst zowel de 
doelmatigheid als de rechtmatigheid van een inkoopproces (inclusief 
aanbestedingen). Dat betekent dat de strategie wordt voorgelegd aan de 
Tenderboard (doelmatigheidstoets) en dat daarnaast wordt beoordeeld of 
conform aanbestedingswetgeving, inkoopbeleid en het investeringsmanual wordt 
gehandeld (rechtmatigheidstoets). 


De contracten worden samen met de afdeling Legal opgesteld. De aannemer 
wordt per keer gescreend. Een externe partij toetst op kredietwaardigheid. De 
Integriteitstoetsen laat NS Stations uitvoeren door een externe partij. 
Investeringen worden getoetst en geaccordeerd in het Directie-lnvesterings- 
Overleg. 

NS Stations is betrokken bij nieuwbouw en verbouw van Stations (bijvoorbeeld 
nieuwbouw Breda en verbouwing Amsterdam en Utrecht). Dit zijn grote en 
complexe projecten die worden gerealiseerd in samenwerking met andere 
partijen, meestal met ProRail. Doordat ieder project zijn eigen karakteristieken 
heeft en ze gezamenlijk met anderen worden uitgevoerd is er een inherent 
beheersingsrisico. NS Stations onderkent dit risico en ziet dit als een risico dat 
permanent aandacht behoeft en kritisch gevolgd moet worden. 

Bij de meeste gezamenlijke projecten heeft ProRail de rol van projectmanager en 
voert de projectadministratie voor het gehele project. NS Stations administreert 
het eigen deelproject. Door NS worden bij grote projecten mitigerende 
maatregelen getroffen, zoals: 

• strikte naleving van de governance voor het projectdeel van NS Stations 

• onafhankelijke beoordeling van de ontwikkelingen in het financiële budget 
versus de realisatie en de prognose door de projectcontroller die rapporteert 
aan de CFO 

• gezamenlijke besturingsorganisatie, door ProRail en NS vormgegeven via het 
programma 'Beter en Meer' 


8 


Bron: Processen_rits_ontwikkelbedrijf.pdf 
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17.4 Positieve ontwikkelingen 


Procesbeschrijvingen 

Procedurebeschrijvingen, vastlegging en vier-ogen-principe bij verhuur, verkoop, 
investeringen en aanbestedingstrajecten (via Directie overleg en/of Tenderboard) 
zijn helder en de procesflow ondersteunt de werkwijze. De rol van NS Legal is 
geborgd. De Tenderboard toetst aanbestedingen op basis van het beleid van NS 
Procurement en bedrijfsspecifieke inkoopregels. 

Het vier-ogen-principe en accordering conform bevoegdheden register is 
vastgelegd in de procedures. Er is functiescheiding gerealiseerd. Binnen Vastgoed 
& Ontwikkeling wordt een transactieregister bijgehouden met de relevante 
gegevens van elk business-to-business vastgoed- of grondtransactie. Hiermee kan 
de transactie ook achteraf getoetst worden op wettelijkheid en correctheid. Voor 
elke transactie wordt een dossier aangemaakt in Document Management System 
waarin het register is geïntegreerd. Dit geldt ook voor eventuele transacties met 
individuen. 

Het procesmodel bevat maatregelen om het frauderisico (bevoordeling partijen, 
eigen gewin), compliance en reputatierisico te mitigeren. Documenten worden 
geclassificeerd en voorzien van een watermerk indien de stukken strikt 
vertrouwelijk of strikt persoonlijk zijn. 

Open cultuur 

Incidenten, twijfels of afwijkende zaken worden besproken in managementteams 
of directie overleggen. Dit creëert tevens bewustwording ten aanzien van 
gewenst gedrag en integer handelen. Per juli 2015 is besloten om binnen NS 
Stations een afzonderlijke integriteitsverklaring in te voeren. Bij indiensttreding 
wordt deze verklaring ondertekend, daarnaast komt een jaarlijkse verklaring 
specifiek voor de afdeling Vastgoed & Ontwikkeling. 


Gedragscode 

NS Stations beschikt over een eigen gedragscode waarin is omschreven waar de 
grenzen voor medewerkers liggen. Het bespreekbaar maken van gedrag, 
declaraties, incidenten, omgaan met uitnodigingen en geschenken en het tonen 
van voorbeeldgedrag door het management is een uitgangspunt van Stations. Uit 
de door ons gevoerde gesprekken met medewerkers van NS Stations als ook uit 
de questionnaire blijkt dat dit soort onderwerpen bespreekbaar zijn. Het risico op 
ongewenst gedrag of fraude wordt hiermee gemitigeerd. 

17.5 Verbeterpunten 


Screening 

Indien er verkopen gedaan worden aan partijen die NS Stations niet kent, wordt 
er een screening uitgevoerd op kredietwaardigheid en integriteitsaspecten. Deze 
screening wordt niet uitgevoerd bij bekende partijen, bij ProRail en bij 
gemeenten. Er wordt geen lijst bijgehouden van partijen waar stations vanuit 
integriteitsoogpunt geen zaken mee wil doen. 

Bij vastgoedtransacties dient de betreffende manager in het investeringsvoorstel 
beargumenteerd te vermelden of screening al dan niet nodig is. Tijdens het 
Directie-Investerings-Overleg dient de manager deze keus te verantwoorden. 
Screening van een koper, leverancier of aannemer vindt plaats aan het eind van 
het proces. Hierdoor bestaat het risico dat pas laat wordt geconstateerd dat een 
partij onbetrouwbaar, niet integer of financieel niet gezond is. Wij bevelen aan de 
screening vroeger in het proces toe te passen en de criteria verder te 
objectiveren. 
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Incidentregister 

De afdeling Vastgoed & Ontwikkeling heeft geen incidentenregister zoals de 
afdeling Retail & Services dat kent. Bij de afdeling Vastgoed & Ontwikkeling is de 
kans op incidenten kleiner gezien de frequentie van de transacties maar zal de 
impact van een incident groter zijn gezien de omvang van de transacties. Door 
incidenten van de afdeling Vastgoed & Ontwikkeling niet in een totaalregister 
vast te leggen ontbreekt het totaaloverzicht en vinden er geen analyses plaats ten 
aanzien van incidenten waardoor er niet actief gestuurd kan worden op het 
voorkomen van herhaling. 


Helderheid Gedragscode 

NS Poort heeft een eigen gedragscode ontwikkeld die naast de gedragscode van 
NS bestaat, op basis van de vereisten van de NEPROM en de IVBN. De 
gedragscode van NS is recent geactualiseerd. Het bestaan van meerdere 
gedragscodes kan leiden tot onderlinge verschillen tussen de verschillende codes, 
verminderde transparantie doordat meerdere regels van toepassing zijn op 
dezelfde situatie en onduidelijkheid bij medewerkers over welke code in welk 
geval toegepast dient te worden. Wij bevelen aan om de gedragscodes van NS te 
integreren. 
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18 Privacy 


NS wil zorgvuldig omgaan met haar toevertrouwde klantgegevens en recht doen 
aan de privacybelangen van klanten en medewerkers. Ook moet NS 
verantwoording kunnen afleggen over de keuzes die in dit verband zijn gemaakt. 
Overeenkomstig de Wet bescherming persoonsgegevens (hierna: Wbp) en de 
corporate governance code is de RvB eindverantwoordelijk voor een goede 
naleving van de privacywetgeving. NS heeft een privacy beleid dat als doel heeft 
te waarborgen dat haar administratieve processen voldoen aan de wettelijke 
criteria voor behoorlijke en zorgvuldige gegevensverwerking. 

Abellio en haar individuele dochterondernemingen kennen een eigen privacy 
beleid. 


18.1 Verandering in de organisatie 


De bescherming van de persoonlijke levenssfeer en daarmee persoonsgegevens 
is een grondrecht, dat nader wordt uitgewerkt in de Wbp. Het toezicht op de 
naleving van deze wet vindt plaats door het CBP. De Wbp voorziet in wetgeving, 
die aangeeft welke activiteiten er met persoonsgegevens mogen worden 
ondernomen en binnen welke kaders. De Wbp bepaalt bijvoorbeeld dat een 
organisatie alleen persoonsgegevens mag verwerken als dat noodzakelijk is voor 
een specifiek gedefinieerd doel. De persoonsgegevens mogen ook niet zomaar 
voor een ander doel worden gebruikt. Ook worden eisen gesteld aan de 
beveiliging van deze gegevens. 

Om de bedrijfsonderdelen handvatten aan te reiken bij het waarborgen van 
privacybelangen, zijn in 2013 de zogeheten privacy beleidskaders opgesteld. Deze 
privacy beleidskaders zijn niet bekrachtigd en kennen daarmee geen formele 
status. Bedrijfsonderdelen zijn er operationeel gezien zelf verantwoordelijk voor 
dat hun processen binnen de grenzen van de Wbp blijven. NS heeft een privacy 
officer aangesteld om ontwikkelingen op het vlak van regelgeving, afspraken en 
doelstellingen van NS te monitoren. 


De privacy beleidskaders zijn ontwikkeld in samenspraak met 
Informatiebeveiliging, NS Risk & Audit, NS Commercie, NS Legal en de centrale 
ondernemingsraad. De privacy beleidskaders worden beheerd door de privacy 
officer. De privacy beleidskaders zijn primair bestemd voor het lijnmanagement 
en voor degenen die leiding geven aan programma's of projecten 
(proceseigenaren), alsook de ISO en de privacy officer. 


18.2 Positieve ontwikkelingen 


Op reguliere basis vindt afstemming plaats tussen NS, het Ministerie van 
Infrastructuur en Milieu en overige vervoerders over het beschermen van privacy 
gevoelige gegevens. De basis wordt gevormd door de privacywetgeving en de 
richtlijnen van het CBP. 

Bescherming van gegevens van klanten van NS Reizigers is belegd bij de privacy 
officer en een Privacy Regieteam. Tevens is er een NS breed programma 
'Weerbaar NS' waarin gewerkt wordt aan de bescherming van gegevens van 
klanten en medewerkers. 

NS kent een continu verbeterproces ten aanzien van de bescherming van privacy 
gevoelige informatie, waarbij feedback van toezichthoudende instanties wordt 
gebruikt om verbeteringen door te voeren. 
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18.3 Analyse en verbeterpunten 


Geen uniform privacy beleid 

Het NS privacy beleid wordt (nog) niet eenduidig gedeeld in de organisatie. 
Hierdoor kan er onvoldoende worden vastgesteld in hoeverre de privacywet- en 
regelgeving juist en volledig wordt ingevuld in de gehele organisatie. Hierdoor 
bestaat het risico dat NS niet voldoet aan de privacywet- en regelgeving. Wij 
bevelen aan om een eenduidig privacy beleid voor NS in te voeren en te 
bekrachtigen. 

Ontbreken risk managementsysteem 

Er is geen risk managementsysteem ingericht ten behoeve van privacy. In risk 
management is onvoldoende aandacht voor privacyvraagstukken waardoor 
risico's ten aanzien van privacy onvoldoende erkend en geadresseerd worden. 
Vanwege de ernstige consequenties van privacy inbreuk voor NS, is aan te 
bevelen dat risk management het naleven van privacywetgeving gaat monitoren 
in de relevante delen van de organisatie. 


Onvoldoende bewustzijn 

Er is onvoldoende bewustzijn ten aanzien van privacyvraagstukken in de 
organisatie met het risico dat medewerkers vraagstukken ten aanzien van privacy 
mogelijk niet herkennen. Vanwege de ernstige consequenties van privacy inbreuk 
voor NS, is aan te bevelen bewustzijn te kweken voor privacyvraagstukken in de 
relevante delen van de organisatie. 


Hoogachtend, 

Michel Grummel 
Managing director 
Alvarez & Marsal 



Pagina 74 


2B°> 






8 januari 2016 


DEEL F 
Bijlagen 


NS Weerbaar naar de toekomst 



Pagina 75 


2B°> 



8 januari 2016 


NS Weerbaar naar de toekomst 


19 Bijlagen 


1 Afkortingen 

2 Overzicht dochterondernemingen 

3 Uitgevoerde werkzaamheden 

4 Concessies NS 



Pagina 76 


2B°> 




8 januari 2016 


NS Weerbaar naar de toekomst 


19.1 Afkortingen 


Afkorting 

Uitgeschreven 

Afkorting 

Uitgeschreven 

ATH 

Abellio Transport Holding 

IAM 

Identity Access Management 

AvA 

Algemene Vergadering van Aandeelhouders 

ISMS 

Information Security Management System 

CAO 

Collectieve arbeidsovereenkomst 

ISO 

Information Security Officer 

CAPEX 

Capital Expenditures 

IVBN 

Vereniging van Institutionele Beleggers in Vastgoed, Nederland 

CBP 

College bescherming persoonsgegevens 

KPI 

Key Performance Indicator 

CEO 

Chief Executive Officer 

NEPROM 

Vereniging van Nederlandse Projectontwikkeling Maatschappijen 

CIO 

Chief Information Officer 

NS 

Nederlandse Spoorwegen 

CoE 

Centers of Expertise 

OpCo 

Operating Company 

CPC 

Concern Planning & Control 

OPEX 

Operating Expenditures 

CRO 

Chief Risk Officer 

RvB 

Raad van Bestuur 

DNB 

De Nederlandsche Bank 

RvC 

Raad van Commissarissen 

ExCo 

Executive Committee 

SAP 

Systems, Applications & Products 

fte 

fulltime-equivalent 

SIR 

Security Incident Response 

GRC 

Governance Risk en Compliance 

Wbp 

Wet bescherming persoonsgegevens 
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19.2 Overzicht dochterondernemingen 


Vennootschap 

Percentage deelname 

Vennootschap 

Percentage deelname 

NS Reizigers BV 

100 

Abellio London Ltd. 

100 

Holding Serviceverlening Openbaar Vervoer BV 

60 

Abellio New Business Ltd. 

100 

Landelijk Product Regisseur BV 

60 

Abellio West London Ltd. 

100 

Regisseur Studenten Reisrecht BV 

60 

Abellio Scotrail Ltd. 

100 



Abellio Thameslink Ltd. 

100 

NS Internationaal BV 

100 

Abellio Essex Thameside Ltd. 

100 

Thalys Nederland NV 

100 



NS Internationaal Partners BV 

100 

Abellio Transport Holding Deutschland GmbH 

100 

NS Internationaal ERDS BV 

100 

ABELLIO Bus GmbH 

100 



Abellio Rail GmbH 

100 

Abellio Transport Holding BV 

100 

Abellio Rail NRW GmbH 

100 

Abellio Nederland BV 

100 

Abellio Rail Mitteldeutschland GmbH 

100 

Abellio Limburg BV 

100 

Abellio Rail Mitteldeutschland ProjektGmbH 

100 

Abellio Mobility Services BV 

100 

PTS GmbH 

100 

Abellio GmbH 

100 



Abellio Merseyside Ltd. 

100 

NedTrain BV 

100 

Abellio Transport Holdings Denmark A/S 

100 

NedTrain Ematech BV 

100 

Abellio Sweden AB 

100 



Abellio Vastra Götaland AB 

100 

NS Financial Services (Holdings) Ltd. 

100 

Qbuzz BV 

100 

NS Financial Services Company 

100 

Qbuzz Groningen Utrecht BV 

100 





NS Stations BV 

100 

Abellio Transport Holdings Ltd. 

100 

NS Stations Retailbedrijf BV 

100 

Northern Rail Holdings Ltd. 

50 

NS Stations Personeel BV 

100 

Northern Rail Ltd 

50 

NS Stations International BV 

100 

Merseyrail Electrics 2002 Ltd. 

50 

NS Stations International II BV 

100 

Merseyrail Infraco Ltd. 

50 

NS Stations Frankrijk BV 

100 

Merseyrail Services Holding Company Ltd. 

50 

NS Stations Belgium NV 

100 

Abellio Intercity West Coast Ltd. 

100 

NS Stations France SAS 

100 

Abellio Greater Anglia Ltd. 

100 

NS Stations France SNC 

100 
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Vennootschap 

Percentage deelname 

Vennootschap 

Percentage deelname 

NS Stations UK Limited 

100 

Ontwikkelingsfonds Stationslocaties CV 

51,6 

Stationsfoodstore BV 

100 

NS Poort Ontwikkeling BV 

100 

Stationsdrogisterijen Beheer BV 

50 

NS Vastgoed 1 BV 

100 

Stationsdrogisterijen CV 

50 

NS Vastgoed VIII BV 

100 

Basloc Beheer BV 

100 

NS Vastgoed X BV 

100 

NS Fiets BV 

100 

NSenergy BV 

100 

NS OV-fiets BV 

100 

Moestricht BV 

100 

Waterkant BV 

51 

Moewarden BV 

100 

Waterkant CV 

51 

Piet Mondriaan Kwartier Beheer BV 

50 



Ontwikkelingscombinatie Stationsomgeving 

50 

NS Vastgoed BV 

100 

Amersfoort CV 


Stichthage Beheer BV 

100 



Stichthage Trust BV 

100 

NS Insurance NV 

100 

Vasloc Beheer BV 

100 



Stavast Bewaar BV 

100 

NS Opleidingen BV 

100 

Stationslocaties OG CV 

55,8 



Basisfonds Stationslocaties CV 

50,9 

NS Lease BV 

100 
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19.3 Uitgevoerde werkzaamheden 


Verzamelen informatie 

• Verzamelen van relevante informatie betreffende de toegepaste 
risicobeheersing (procedures, protocollen, reglementen) binnen de 
bedrijfsonderdelen en staven over de periode 1 januari 2013 tot en met 1 mei 
2015 

o Audit Jaarplan 
o Audit Framework 
o Auditrapport 
o Statutenwijzigingen 
o Jaarplannen 
o Jaarverslagen 
o Frameworks 
o Trainingen 
o Reglementen 
o Kwartaalrapportages 
o Maandrapportages 
o Organigrammen 
o Protocollen 
o Procedures 
o Adviesrapporten 
o Beleidskaders 
o Bevoegdhedenregisters 

o Notulen RvC (van 7 februari 2012 t/m 6 oktober 2015) 
o Notulen RvB (van 2 juli 2012 t/m 12 oktober 2015) 
o Notulen Auditcommissie (31 juli 2012 t/m 11 augustus 2015) 
o Agenda's RvC/RvB/Auditcommissie 


o 

Bijlagen RvC/RvB/Auditcommissie 


o 

Handboeken 


o 

Actieplannen 


o 

Verrichte 

onderzoeken 

De 

initiële uitvraag is gedaan aan 

de risk managers van de 


bedrijfsonderdelen en de directeuren van de staven. 

De ontvangen informatie is verzameld in Intralinks, een beveiligde 
digitale portal. Alleen toegankelijk voor de daartoe aangewezen 
personen. 

Analyseren informatie 

• Analyse van de verzamelde informatie, waaronder eerdere onderzoeken en 
relevante adviezen zoals Benchmark onderzoek, Oliver Wyman onderzoek, 
adviespunten IIA, relevante aspecten uit management letters. 

Uitvoeren interviews 

• Interviews met sleutelfunctionarissen van NS 

o CFO NS 

o Secretaris RvB & RvC 
o Directeur NedTrain 
o Directeur NS Stations 
o Directeur NS Reizigers 
o Directeur HR 

o Directeur Communicatie & Strategie 
o CFO NedTrain 
o CFO NS Reizigers 
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o Directeur Retail & Services NS stations 
o CEO Qbuzz Nederland 
o Directeur NS Concernveiligheid 
o Ethics & Compliance Manager 
o Directeur Risk & Audit 
o CIO 

o Directeur NS Procurement 
o Manager F&A Corporate Planning & Control 
o Directeur Finance & Administration 
o Voorzitter OR 
o Privacy Officer 
o Information Security Officer 
o Risk Manager NS Stations 

o Risk Manager & Compliance Officer Abellio Groep 
o Directeur Retail & Services NS stations 
o Directeur Vastgoed & Ontwikkeling NS Stations 

Tijdens deze interviews is gesproken over de volgende onderwerpen: 

o In hoeverre zijn de risico's zoals beschreven in de jaarrekening 

richtinggevend geweest voor de opzet en inrichting van NS haar GRC 
organisatie. 

o Welke maatregelen zijn genomen om de risico's te mitigeren, 
o Een korte beschrijving van taak en rol. 
o Een overzicht van de gepraktiseerde beheersing, 
o Cultuur en soft Controls binnen NS. 

Uitzetten vragenlijst 

• Opstellen van een vragenlijst betreffende bedrijfscultuur en integriteit en 
uitzetten in de organisatie. 

Om inzicht te krijgen in hard- en soft Controls en de cultuur zijn een 70-tal 
vragen gesteld. Deze vragen zijn onderverdeeld naar de aspecten; helderheid, 


voorbeeldgedrag, betrokkenheid, uitvoerbaarheid, transparantie, 
bespreekbaarheid, comfort om te melden en handhaving. Ook zijn vragen 
gesteld om inzicht te krijgen in (frequentie van) voorvallen. De vragen zijn 
opgesteld op basis van algemeen erkende vragen om inzicht te krijgen in 
voornoemde aspecten en tevens op basis van organisatie specifieke 
informatie. 

De selectie van medewerkers is gebaseerd op geanonimiseerde 
personeelslijsten, waarbij aselect medewerkers zijn geselecteerd. 

Voor de vragenlijst is een aselecte groep medewerkers (4.100) vanuit de 
bedrijfsonderdelen van de organisatie in Nederland, Verenigd Koninkrijk, 
Duitsland, Scandinavië en Ierland benaderd: 

o NS Groep 
o NS Reizigers 
o NS Stations 
o NedTrain 
o Abellio Qbuzz 
o Abellio HQ NL 
o Abellio HQ UK 
o Abellio Greater Anglia 
o ScotRail 
o Merseyrail 
o Northern Rail 
o London Surrey Bus 
o Abellio Deutschland 
o Abellio Scandinavia 
o NSFSC 

Deze groep is gesplitst in Directie, Management en Medewerker, waarbij 
relatief meer directie en management is gevraagd dan medewerkers. 


A 
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Het overgrote deel van de vragenlijsten is per email aan de betrokken 
medewerkers verzonden. Een deel van de vragenlijsten is als papieren versie 
verstuurd. 

Faciliteren plenaire sessies 

• Faciliteren van plenaire sessies met medewerkers van de werkplaats 
NedTrain, rijdend personeel van NS Reizigers en medewerkers winkels van NS 
Stations waarbij de vragenlijst betreffende bedrijfscultuur en integriteit via 
stemkastjes zijn doorlopen. 

Uitvoeren site visits 

• Site visits bij bedrijfsonderdelen en inhoudelijke gesprekken met 
medewerkers van de betreffende onderdelen. 

Beoordelen bedrijfsonderdelen en analyseren risico's 

• De bedrijfsonderdelen van de NS organisatie zijn inhoudelijk beoordeeld, 
waarbij de volgende onderwerpen zijn behandeld: 

A. Beschrijving bedrijfsonderdelen 

B. Onregelmatigheden / integriteitsrisico's 

C. Coördinatie geïdentificeerde risico's 

D. Gesprekken 

E. Vastleggen risico's 

Verifiëren bevindingen 

• De bevindingen zijn nader geverifieerd met NS-medewerkers om vast te 
stellen of de onderbouwing voldoende is voor het rapport. 
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19.4 Concessies 


Concessies Nederlandse NS-organisatie 

Hoofdrailnet concessie 

De hoofdrailnet concessie is eind 2014 door het Ministerie van Infrastructuur en 
Milieu onderhands gegund aan NS voor de periode 1 januari 2015 tot 1 januari 
2025. Deze concessie betreft het reizigersvervoer per spoor op het hoofdrailnet 
in Nederland. Het hogesnelheidsnet (de HSL Zuid), waarvoor tot eind 2014 een 
separate concessie bestond, is geïntegreerd in deze hoofdrailnet concessie. 

Regionale vervoersconcessies 

De regionale vervoersconcessies betreffende het reizigersvervoer per spoor zijn 
verleend door de betrokken provincies of stadsregio's. 

De volgende regionale vervoersconcessies worden door de Nederlandse NS- 
organisatie gereden: 

• Gouda - Alphen aan den Rijn (tot en met 12 december 2015) 

• Zwolle - Kampen (tot en met 12 tot december 2015) 

• Rotterdam - Hoek van Holland Strand (tot en met 12 tot december 2015) 

• De concessie voor de stoptreindienst verbinding Zwolle - Enschede (tot en 
met 9 december 2017) 

Concessies Abellio UK 

Met het bedrijfsonderdeel Abellio Transport Group Ltd. voert NS in het Verenigd 
Koninkrijk de volgende concessies uit. Voor elke concessie is een OpCo opgericht. 


Merseyrail 

Abellio voert deze concessie uit in een 50/50 joint venture met het 
beursgenoteerde Britse Serco. Het betreft reizigersvervoer per trein op het 
spoornetwerk in de omgeving van Liverpool. Deze concessie is gestart in 2003 en 
loopt tot en met 20 juli 2028. Er is een optie tot verlenging met vijfjaar. 

Northern Rail 

Ook de uitvoering van deze concessie vindt plaats door Abellio in een 50/50 joint 
venture met het beursgenoteerde Britse Serco. De concessie betreft het 
regionale en stedelijke treinreizigersvervoer in Noord-Engeland. De 
concessieduur is in maart 2014 verlengd tot 1 april 2016. 

Greater Angiia 

In 2011 heeft Abellio de Greater Anglia concessie gewonnen. De concessie is 
verlengd tot 15 oktober 2016. De uitvoering ligt bij Abellio Greater Anglia Ltd. en 
betreft reizigersvervoer per trein op het spoornetwerk in de Anglia regio in Oost- 
Engeland. 

ScotRail 

In oktober 2014 heeft Abellio de ScotRail concessie gewonnen. De concessie 
betreffende intercity, regionaal en provinciaal reizigersvervoer per trein over het 
Schotse nationale spoornetwerk heeft een looptijd van minimaal zeven jaar vanaf 
1 april 2015. Met wederzijdse instemming kan een verlenging tot 31 maart 2025 
plaatsvinden. 
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Busconcessies Londen -Surrey 

Abellio London Ltd. exploiteert 43 buslijnen in Londen vanuit vijf depots. Abellio 
Surrey Ltd. rijdt 37 buslijnen in Surrey. De concessies hebben een looptijd van 
gemiddeld vijf jaar met een optie tot verlenging met twee jaar, afhankelijk van 
het behalen van prestatiecriteria. 

Concessies Abellio Duitsland 

Abellio Rail NRW 

In Noordrijn-Westfalen rijdt Abellio drie treinconcessies: Emscher-Ruhrtal-Netz 
(2005-2019), Ruhr-Sieg-Netz (2005-2019) en Der Mungsterer (2013-2028). 

Niederrhein-Netz 

De grensoverschrijdende treinconcessie Niederrhein-Netz wordt gereden in de 
periode 2016 -2028. 

Abellio Mitteldeutschland 

De treinconcessie Saale-Thürigen-Südharz (STS) wordt gereden vanaf december 
2015 -2030. 


Concessies Abellio Nederland 

Qbuzz exploiteert als dochteronderneming van Abellio een aantal regionale bus 
concessies. 

Regio Groningen - Drenthe 

Qbuzz verzorgt de exploitatie van het busvervoer in Groningen - Drenthe tot 
december 2017. Daarna volgt een mogelijke verlenging van twee jaar. 

Regio Friesland 

Het busvervoer in de regio Zuidoost-Friesland wordt tot december 2016 door 
Qbuzz verzorgd. 

Regio Utrecht (U-OV) 

In Utrecht rijdt Qbuzz het busvervoer voor de periode december 2013 - 
december 2023. 
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